Claude Code + GitLab CI/CD — Tu dong review code va merge request

Nhiều doanh nghiệp công nghệ tại Việt Nam sử dụng GitLab self-hosted thay vì GitHub vì lý do bảo mật, chi phí và kiểm soát dữ liệu nội bộ. Việc tích hợp Claude Code vào GitLab CI/CD pipeline giúp tự động hóa quy trình code review, phát hiện lỗi sớm và nâng cao chất lượng code mà không phụ thuộc vào các dịch vụ bên ngoài. Bài viết này hướng dẫn bạn thiết lập từ đầu đến cuối.

Tại sao tích hợp Claude Code vào GitLab CI/CD?

Code review thủ công có nhiều hạn chế trong doanh nghiệp: reviewer bị quá tải, feedback chậm, tiêu chuẩn không nhất quán giữa các reviewer. Claude Code có thể giúp giải quyết các vấn đề này:

• Review nhanh: Mỗi merge request được review trong vài phút thay vì vài giờ hoặc vài ngày
• Nhất quán: Mỗi MR đều được đánh giá theo cùng bộ tiêu chuẩn
• Phát hiện sớm: Bug, security issue và code smell được phát hiện trước khi reviewer nhìn vào
• Giảm tải cho reviewer: Reviewer tập trung vào logic nghiệp vụ và kiến trúc thay vì format và style
• Đào tạo: Junior developer nhận được feedback chi tiết và nhất quán, giúp họ học nhanh hơn

Kiến trúc tổng quan

Hệ thống hoạt động theo quy trình sau:

1. Developer tạo merge request trên GitLab
2. GitLab CI trigger pipeline tự động
3. Pipeline chạy Claude Code để review diff của MR
4. Claude Code phân tích code và tạo báo cáo review
5. Báo cáo được đăng lên MR dưới dạng comment
6. Nếu có vấn đề nghiêm trọng, pipeline fail và chặn merge

Đối với GitLab self-hosted, toàn bộ quy trình diễn ra trong hạ tầng nội bộ của công ty. Chỉ có bước gọi Claude API là cần kết nối internet (hoặc sử dụng Claude qua Vertex AI / Bedrock nếu cần giữ dữ liệu trong cloud riêng).

Thiết lập cơ bản

Bước 1: Cấu hình API key

Lưu API key của Anthropic vào GitLab CI/CD variables. Không bao giờ lưu API key trực tiếp trong code hoặc file cấu hình.

# Trong GitLab: Settings > CI/CD > Variables
# Them bien: ANTHROPIC_API_KEY
# Type: Variable
# Protected: Yes (chi dung tren protected branches)
# Masked: Yes (an trong log)

Bước 2: Tạo script review

Tạo script xử lý việc gọi Claude Code để review diff. Lưu file này trong repository:

#!/bin/bash
# scripts/claude-review.sh
# Script goi Claude Code de review merge request

set -euo pipefail

# Lay diff cua merge request
MR_DIFF=$(git diff origin/$CI_MERGE_REQUEST_TARGET_BRANCH_NAME...HEAD)

if [ -z "$MR_DIFF" ]; then
    echo "Khong co thay doi nao de review."
    exit 0
fi

# Gioi han kich thuoc diff (tranh vuot token limit)
MAX_DIFF_SIZE=50000
DIFF_SIZE=${#MR_DIFF}
if [ $DIFF_SIZE -gt $MAX_DIFF_SIZE ]; then
    echo "Canh bao: Diff qua lon ($DIFF_SIZE chars). Chi review $MAX_DIFF_SIZE chars dau."
    MR_DIFF="${MR_DIFF:0:$MAX_DIFF_SIZE}"
fi

# Tao prompt review
REVIEW_PROMPT="Ban la senior code reviewer. Review diff sau day va tra ve:

1. **Van de nghiem trong (Blocker):** Bug, security vulnerability, data loss risk
2. **Van de quan trong (Major):** Logic error, performance issue, missing error handling
3. **De xuat cai thien (Minor):** Code style, naming, documentation
4. **Diem tot:** Nhung gi developer da lam tot

Quy tac:
- Chi bao cao van de thuc su, khong bao cao false positive
- Giai thich ly do cu the cho moi van de
- De xuat cach sua cu the (code snippet)
- Danh gia tong the: APPROVE, REQUEST_CHANGES, hoac COMMENT

Diff:
```
$MR_DIFF
```"

# Goi Claude API
RESPONSE=$(curl -s https://api.anthropic.com/v1/messages   -H "Content-Type: application/json"   -H "x-api-key: $ANTHROPIC_API_KEY"   -H "anthropic-version: 2023-06-01"   -d "{
    "model": "claude-sonnet-4-20250514",
    "max_tokens": 4096,
    "messages": [{
      "role": "user",
      "content": $(echo "$REVIEW_PROMPT" | jq -Rs .)
    }]
  }")

# Trich xuat noi dung review
REVIEW_CONTENT=$(echo "$RESPONSE" | jq -r '.content[0].text')

# Luu bao cao
echo "$REVIEW_CONTENT" > review-report.md
echo "Review hoan thanh. Xem review-report.md"

# Kiem tra co blocker khong
if echo "$REVIEW_CONTENT" | grep -qi "blocker|nghiem trong|REQUEST_CHANGES"; then
    echo "CANH BAO: Co van de nghiem trong can xu ly truoc khi merge."
    exit 1
fi

Bước 3: Cấu hình .gitlab-ci.yml

Thêm stage review vào pipeline:

# .gitlab-ci.yml

stages:
  - test
  - review
  - build
  - deploy

variables:
  CLAUDE_MODEL: "claude-sonnet-4-20250514"
  MAX_REVIEW_COST: "0.50"  # Gioi han chi phi moi review (USD)

# Stage review code voi Claude
claude-review:
  stage: review
  image: python:3.11-slim
  rules:
    - if: $CI_PIPELINE_SOURCE == "merge_request_event"
  before_script:
    - pip install anthropic requests
    - apt-get update && apt-get install -y jq curl
  script:
    - bash scripts/claude-review.sh
  after_script:
    # Dang review len MR comment
    - |
      if [ -f review-report.md ]; then
        REVIEW=$(cat review-report.md | jq -Rs .)
        curl --request POST           --header "PRIVATE-TOKEN: $GITLAB_API_TOKEN"           --header "Content-Type: application/json"           --data "{"body": $REVIEW}"           "$CI_API_V4_URL/projects/$CI_PROJECT_ID/merge_requests/$CI_MERGE_REQUEST_IID/notes"
      fi
  artifacts:
    paths:
      - review-report.md
    when: always
    expire_in: 30 days
  allow_failure: false  # Dat true neu chi muon canh bao, khong chan merge

Nâng cấp: Review nâng cao với context

Review chỉ dựa trên diff thường thiếu ngữ cảnh. Để Claude review chính xác hơn, cần cung cấp thêm thông tin về project.

Thêm coding standards

Tạo file chứa quy tắc code của team và đưa vào prompt:

# .claude/review-rules.md
# Quy tac code cua team

## Ngon ngu va Framework
- Backend: Python 3.11+, FastAPI
- Frontend: React 18, TypeScript
- Database: PostgreSQL 15

## Quy tac bat buoc
- Tat ca function phai co docstring
- Tat ca API endpoint phai co error handling
- Khong su dung print() trong production code, dung logging
- Tat ca query database phai dung parameterized queries
- Password va secret khong duoc hardcode

## Naming Convention
- Python: snake_case cho bien va ham, PascalCase cho class
- TypeScript: camelCase cho bien va ham, PascalCase cho component
- Database: snake_case cho table va column

## Testing
- Moi feature moi phai co unit test
- Coverage toi thieu 80%
- Test phai chay doc lap, khong phu thuoc thu tu

Cấu hình review theo loại file

Không phải mọi file đều cần review giống nhau. Cấu hình để Claude tập trung vào những gì quan trọng:

# scripts/claude-review-advanced.sh

# Phan loai file thay doi
PYTHON_FILES=$(git diff --name-only origin/$CI_MERGE_REQUEST_TARGET_BRANCH_NAME...HEAD | grep '.py$' || true)
JS_FILES=$(git diff --name-only origin/$CI_MERGE_REQUEST_TARGET_BRANCH_NAME...HEAD | grep -E '.(js|ts|tsx)$' || true)
CONFIG_FILES=$(git diff --name-only origin/$CI_MERGE_REQUEST_TARGET_BRANCH_NAME...HEAD | grep -E '.(yml|yaml|json|toml)$' || true)
MIGRATION_FILES=$(git diff --name-only origin/$CI_MERGE_REQUEST_TARGET_BRANCH_NAME...HEAD | grep 'migration' || true)

# Doc coding standards
STANDARDS=""
if [ -f ".claude/review-rules.md" ]; then
    STANDARDS=$(cat .claude/review-rules.md)
fi

# Tao prompt tuy chinh theo loai file
if [ -n "$MIGRATION_FILES" ]; then
    echo "Phat hien migration files - them kiem tra database safety"
    EXTRA_RULES="Dac biet chu y den migration files:
    - Kiem tra co rollback migration khong
    - Kiem tra co lock table qua lau khong
    - Kiem tra co mat du lieu khong"
fi

if [ -n "$CONFIG_FILES" ]; then
    echo "Phat hien config files - them kiem tra security"
    EXTRA_RULES="$EXTRA_RULES
    Dac biet chu y den config files:
    - Kiem tra co secret bi expose khong
    - Kiem tra co thay doi permission khong
    - Kiem tra co thay doi production config khong"
fi

Quality Gates — Chặn merge khi có vấn đề

Quality gates là các điều kiện phải thỏa mãn trước khi MR được phép merge. Claude Code có thể đóng vai trò là một quality gate trong pipeline.

Định nghĩa các mức độ

• Blocker: Security vulnerability, data loss, crash. Pipeline FAIL, không cho merge
• Major: Logic error, performance issue. Pipeline WARNING, yêu cầu reviewer xác nhận
• Minor: Code style, naming. Pipeline PASS, chỉ là gợi ý

Cấu hình quality gate trong pipeline

# Them vao .gitlab-ci.yml

quality-gate:
  stage: review
  rules:
    - if: $CI_PIPELINE_SOURCE == "merge_request_event"
  script:
    - |
      # Chay Claude review va kiem tra ket qua
      python3 scripts/quality_gate.py         --diff-file="diff.patch"         --standards=".claude/review-rules.md"         --max-blockers=0         --max-majors=3         --output="quality-report.json"

      # Doc ket qua
      BLOCKERS=$(jq '.blockers | length' quality-report.json)
      MAJORS=$(jq '.majors | length' quality-report.json)

      echo "Blockers: $BLOCKERS, Majors: $MAJORS"

      if [ "$BLOCKERS" -gt 0 ]; then
        echo "FAIL: Co $BLOCKERS blocker(s). Khong cho phep merge."
        exit 1
      fi

      if [ "$MAJORS" -gt 3 ]; then
        echo "WARNING: Co $MAJORS major issue(s). Can reviewer xac nhan."
        exit 1
      fi

      echo "PASS: Code dat chuan."

Self-hosted GitLab — Lưu ý đặc biệt

Nhiều công ty Việt Nam chọn GitLab self-hosted vì các lý do:

• Dữ liệu code nằm trên server nội bộ, không gửi ra nước ngoài
• Không phụ thuộc vào dịch vụ bên ngoài cho quy trình CI/CD
• Tiết kiệm chi phí license khi team lớn
• Tùy chỉnh được theo nhu cầu riêng

Cấu hình network cho self-hosted GitLab

GitLab runner cần truy cập internet để gọi Claude API. Nếu môi trường nội bộ hạn chế internet, cần cấu hình proxy hoặc whitelist domain api.anthropic.com.

# Cau hinh proxy cho GitLab Runner
# /etc/gitlab-runner/config.toml

[[runners]]
  name = "claude-review-runner"
  url = "https://gitlab.internal.company.vn"
  executor = "docker"
  [runners.docker]
    image = "python:3.11-slim"
    privileged = false
    volumes = ["/cache"]
  [runners.docker.dns]
    nameservers = ["8.8.8.8", "8.8.4.4"]
  environment = [
    "HTTPS_PROXY=http://proxy.internal:8080",
    "HTTP_PROXY=http://proxy.internal:8080",
    "NO_PROXY=gitlab.internal.company.vn"
  ]

Bảo mật API key trên self-hosted

Trên self-hosted GitLab, API key lưu trong CI/CD variables vẫn được mã hóa. Tuy nhiên, cần thêm các lớp bảo vệ:

• Đặt variable là Protected và Masked
• Chỉ cho phép sử dụng trên protected branches
• Rotate API key định kỳ (mỗi 90 ngày)
• Giới hạn IP truy cập API key tại Anthropic dashboard

Kiểm soát chi phí

Mỗi lần Claude review MR, bạn tốn chi phí API. Với team lớn và nhiều MR mỗi ngày, chi phí có thể tăng nhanh. Dưới đây là các biện pháp kiểm soát:

Ước tính chi phí

Chi phí mỗi review phụ thuộc vào kích thước diff và model sử dụng:

• MR nhỏ (dưới 200 dòng): Khoảng $0.01-0.05 với Sonnet
• MR trung bình (200-1000 dòng): Khoảng $0.05-0.20
• MR lớn (trên 1000 dòng): Khoảng $0.20-0.50

Với team 10 developer, mỗi người tạo 2-3 MR/ngày, chi phí ước tính khoảng $50-150/tháng — thấp hơn nhiều so với chi phí của 1 giờ code review thủ công.

Giới hạn chi phí trong pipeline

# scripts/cost-control.sh

# Uoc tinh chi phi truoc khi goi API
DIFF_SIZE=$(git diff origin/$CI_MERGE_REQUEST_TARGET_BRANCH_NAME...HEAD | wc -c)
ESTIMATED_TOKENS=$((DIFF_SIZE / 4))  # Uoc tinh 4 chars = 1 token
ESTIMATED_COST=$(echo "scale=4; $ESTIMATED_TOKENS * 0.000003" | bc)

echo "Uoc tinh: $ESTIMATED_TOKENS tokens, ~$$ESTIMATED_COST"

# Kiem tra gioi han
MAX_COST=${MAX_REVIEW_COST:-0.50}
if (( $(echo "$ESTIMATED_COST > $MAX_COST" | bc -l) )); then
    echo "Canh bao: Chi phi uoc tinh ($ESTIMATED_COST) vuot gioi han ($MAX_COST)."
    echo "Chi review 500 dong thay doi dau tien."
    # Giam kich thuoc diff
    git diff origin/$CI_MERGE_REQUEST_TARGET_BRANCH_NAME...HEAD | head -2000 > truncated-diff.patch
fi

Chỉ review khi cần thiết

# Trong .gitlab-ci.yml - chi chay review cho code files
claude-review:
  rules:
    - if: $CI_PIPELINE_SOURCE == "merge_request_event"
      changes:
        - "**/*.py"
        - "**/*.js"
        - "**/*.ts"
        - "**/*.tsx"
        - "**/*.go"
      # Khong review: docs, images, generated files, lock files

Mở rộng: Review bảo mật và dependency

Ngoài review logic code, Claude Code có thể giúp kiểm tra các vấn đề bảo mật và dependency trong MR.

Kiểm tra dependency mới

Khi MR thêm dependency mới (trong package.json, requirements.txt, go.mod), Claude có thể đánh giá rủi ro:

Merge request nay them cac dependency moi sau vao du an:
[Dan noi dung thay doi trong package.json hoac requirements.txt]

Hay danh gia tung dependency:
1. Do pho bien (npm downloads/week, GitHub stars)
2. Bao tri (commit gan nhat, so luong maintainer)
3. Lo hong bao mat da biet (CVE)
4. Kich thuoc anh huong den bundle size
5. Co dependency nao bi duplicate hoac co the thay the
   bang dependency da co trong du an khong?

De xuat: Nen them, khong nen them, hoac can them dieu kien.

Phát hiện hardcoded secrets

Một trong những lỗi bảo mật phổ biến nhất là commit secret vào repository. Thêm bước kiểm tra này vào pipeline:

# Them vao .gitlab-ci.yml
secret-scan:
  stage: review
  rules:
    - if: $CI_PIPELINE_SOURCE == "merge_request_event"
  script:
    - |
      # Lay diff va gui cho Claude kiem tra
      DIFF=$(git diff origin/$CI_MERGE_REQUEST_TARGET_BRANCH_NAME...HEAD)

      # Kiem tra cac pattern nghi ngo
      if echo "$DIFF" | grep -iE '(api_key|secret|password|token|credential).*=.*["'][A-Za-z0-9+/=]{20,}'; then
        echo "CANH BAO: Phat hien pattern giong secret trong diff"
        echo "Gui cho Claude de xac nhan..."
        # Goi Claude de phan tich context
      fi

Review SQL migration

Với các MR chứa database migration, Claude có thể kiểm tra các rủi ro như lock table, mất dữ liệu hoặc migration không có rollback. Đây là đặc biệt quan trọng với các hệ thống đang chạy production có dữ liệu lớn.

Báo cáo và thống kê

Theo dõi hiệu quả của hệ thống review tự động giúp bạn điều chỉnh và cải thiện liên tục.

Các chỉ số cần theo dõi

• Số lượng vấn đề phát hiện: Bao nhiêu blocker, major, minor được phát hiện mỗi tuần
• Tỷ lệ false positive: Bao nhiêu phần trăm vấn đề Claude báo cáo thực ra không phải vấn đề. Tỷ lệ này nên dưới 20%
• Thời gian review: Pipeline review mất bao lâu. Mục tiêu dưới 5 phút
• Chi phí trung bình mỗi MR: Theo dõi để đảm bảo không vượt ngân sách
• Developer satisfaction: Khảo sát developer hàng tháng về chất lượng review

Dashboard thống kê

# scripts/review-stats.sh
# Thong ke su dung Claude review trong thang

echo "=== Thong ke Claude Review thang $(date +%Y-%m) ==="

# Dem so MR da review
TOTAL_MRS=$(ls review-reports/*.json 2>/dev/null | wc -l)
echo "Tong so MR da review: $TOTAL_MRS"

# Dem van de theo muc do
BLOCKERS=$(cat review-reports/*.json | jq '[.issues[] | select(.severity=="blocker")] | length' | paste -sd+ | bc)
MAJORS=$(cat review-reports/*.json | jq '[.issues[] | select(.severity=="major")] | length' | paste -sd+ | bc)
echo "Blockers: $BLOCKERS"
echo "Majors: $MAJORS"

# Uoc tinh chi phi
TOTAL_TOKENS=$(cat review-reports/*.json | jq '.usage.total_tokens' | paste -sd+ | bc)
echo "Tong tokens: $TOTAL_TOKENS"
echo "Uoc tinh chi phi: $$(echo "scale=2; $TOTAL_TOKENS * 0.000003" | bc)"

Use case: Công ty phần mềm Việt Nam

Một công ty outsourcing phần mềm tại Hà Nội với 30 developer đã tích hợp Claude Code vào GitLab self-hosted. Kết quả sau 3 tháng:

• Thời gian review giảm 60%: Từ trung bình 4 giờ xuống 1.5 giờ cho mỗi MR (bao gồm cả review của người)
• Bug trên production giảm 35%: Claude phát hiện nhiều null pointer, race condition và SQL injection trước khi code lên production
• Onboarding nhanh hơn: Junior developer học được coding standards nhanh hơn nhờ feedback tự động và nhất quán
• Chi phí: Khoảng $200/tháng cho API — tương đương 2 giờ lương của senior developer

Điểm quan trọng: Claude Code không thay thế người review mà bổ sung cho người review. Pipeline được cấu hình để Claude review trước, sau đó senior developer chỉ cần tập trung vào các vấn đề logic và kiến trúc thay vì format và style.

Xử lý sự cố và debugging

Khi pipeline gặp lỗi, kiểm tra các nguyên nhân phổ biến:

• API key hết hạn hoặc sai: Kiểm tra lại variable trong GitLab CI/CD settings
• Rate limit: Thêm retry logic với exponential backoff
• Diff quá lớn: Tăng giới hạn hoặc chia nhỏ diff
• Network timeout: Kiểm tra kết nối từ runner đến api.anthropic.com
• Response format thay đổi: Kiểm tra API version và cập nhật script

Pipeline Claude review cua toi dang gap loi sau:
[Dan log loi tu GitLab CI]

Cau hinh hien tai:
- GitLab self-hosted 16.x
- Runner dung Docker executor
- Network qua proxy noi bo

Hay phan tich nguyen nhan va de xuat cach khac phuc.
Dac biet chu y den cac van de lien quan den
self-hosted environment va proxy.

Bước tiếp theo

Bạn đã thiết lập được hệ thống tự động review code với Claude Code và GitLab CI/CD. Bước tiếp theo là mở rộng sang các tác vụ DevOps khác như tối ưu Dockerfile, review infrastructure as code, và tự động hóa testing. Khám phá thêm các hướng dẫn tại Thư viện Ứng dụng Claude.