AI के दौर में कोड रिव्यू

 (addyo.substack.com)
47 पॉइंट द्वारा GN⁺ 2026-01-07 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • AI ने code review को खत्म नहीं किया, बल्कि प्रमाण की जिम्मेदारी को और स्पष्ट किया है
  • बदलावों को deploy करते समय manual verification या automated tests जैसे साक्ष्य संलग्न करने चाहिए, और उसके बाद review के जरिए risk, intent और accountability को समझना चाहिए
  • जहाँ individual developers AI की गति के साथ चलने के लिए automation पर निर्भर हैं, वहीं टीमें review के जरिए साझा context और जिम्मेदारी बनाती हैं
  • अगर PR में काम करने का प्रमाण नहीं है, तो वह तेज deployment नहीं बल्कि काम को downstream धकेलना भर है; verification system रखने वाले developers ही AI की high-speed development में सफल होते हैं
  • code review का bottleneck code लिखने से हटकर यह साबित करने की प्रक्रिया पर आ गया है कि वह काम करता है, और AI भले mechanical काम तेज करे, जिम्मेदारी इंसानों के पास ही रहनी चाहिए

AI के दौर में code review का बदलाव

  • 2026 की शुरुआत तक 30% से अधिक senior developers ज्यादातर AI-generated code deploy कर रहे हैं; AI feature का draft बनाने में अच्छा है, लेकिन logic, security और edge cases में कमज़ोरियों को उजागर करता है, जैसे logic errors में 75% वृद्धि
  • solo developers inference speed के सहारे तेज़ी से deploy करते हैं और test suite को safety net की तरह इस्तेमाल करते हैं, जबकि टीमें context और compliance के लिए human review बनाए रखती हैं
  • अगर सही तरीके से किया जाए तो दोनों ही AI को accelerator की तरह इस्तेमाल कर सकते हैं, लेकिन फर्क इस बात से पड़ता है कि कौन, क्या और कब verify करता है
  • अगर आपने खुद यह नहीं जांचा कि code सही से काम कर रहा है, तो वह वास्तव में काम कर रहा है नहीं माना जा सकता
    • AI इस नियम को और मज़बूत करता है, इससे छूट नहीं देता

डेवलपर्स के AI उपयोग वाले review तरीके

  • Ad-hoc LLM checks: commit से पहले diff को Claude, Gemini, GPT में paste करके bug या style issues की तेज़ जांच
  • IDE integration: Cursor, Claude Code, Gemini CLI जैसे tools से coding के दौरान inline suggestions और refactoring
  • PR bots और scanners: GitHub Copilot या custom agents से PR में संभावित issues को अपने-आप highlight करना, और Snyk जैसे static/dynamic analysis tools से security checks साथ में चलाना
  • Automated testing loops: AI से tests generate और run कराना, और 70%+ coverage को merge condition बनाना
  • Multi-model review: कई LLMs से code की समीक्षा कर model-specific bias पकड़ना (उदाहरण: Claude से generation, security-focused model से audit)

solo developer vs team: तुलना

  • solo developer
    • review focus: automated tests + सीमित spot checks
    • speed trade-off: inference time की गति, iteration loops से issues ठीक करना
    • core tool: agentic testing (उदाहरण: Claude Code loop)
    • principle: खुद साबित करो (Prove it yourself)
  • team
    • review focus: context और security को human judgment से जांचना
    • speed trade-off: review bottleneck से बचने के लिए PR को छोटा रखना
    • core tool: bots + policies का संयोजन (उदाहरण: AI-generated PR labeling)
    • principle: काम करने का प्रमाण टीम के साथ साझा करो (Share the Proof)

solo developer: “inference speed” के साथ deploy

  • solo developers AI-generated code की ‘vibe पर भरोसा’ करते हुए, सिर्फ core हिस्सों को देखते हैं और tests से issues पकड़ते हैं, जिससे features जल्दी deploy हो जाते हैं
  • coding agents को वे अक्सर ऐसे ताकतवर intern की तरह देखते हैं जो बड़े refactoring को अकेले संभाल सकता है
  • Peter Steinberger का कहना: “अब मैं इतना code नहीं पढ़ता। मैं stream देखता हूँ, और कभी-कभी सिर्फ core हिस्सों को चेक करता हूँ”
  • development का bottleneck typing नहीं बल्कि inference time (AI output का इंतज़ार) बन गया है
  • सावधानी: अगर मजबूत testing नहीं है, तो गति का महसूस होने वाला फायदा गायब हो जाता है
    • review को छोड़ना काम को खत्म करना नहीं, बल्कि उसे आगे के चरण में टालना है
    • AI-based high-speed development में सफलता की कुंजी blind trust नहीं बल्कि verification system बनाना है
  • जिम्मेदार solo developers व्यापक automated testing को safety net की तरह इस्तेमाल करते हैं, और 70%+ coverage का लक्ष्य रखते हैं
  • language-independent और data-driven tests निर्णायक भूमिका निभाते हैं
    • अगर tests पर्याप्त हों, तो agent language की परवाह किए बिना implementation generate, modify और verify कर सकता है
    • project की शुरुआत में AI spec.md का draft लिखता है, approval के बाद write → test → fix loop दोहराया जाता है
  • solo developers भी अंतिम चरण में manual testing और critical judgment करते हैं
    • application को खुद चलाते हैं, UI पर click करते हैं और feature इस्तेमाल करते हैं
    • risk ज़्यादा होने पर और code पढ़ते हैं और अतिरिक्त verification करते हैं
    • तेज़ development के बावजूद गंदा code दिखते ही साफ करते हैं
  • मुख्य सिद्धांत: developer का काम ‘ऐसा code देना है जिसका काम करना वह खुद साबित कर चुका हो’

team: AI review bottleneck को दूसरी जगह ले जाता है

  • team environment में AI code review का शक्तिशाली सहायक है, लेकिन quality, security और maintainability के लिए ज़रूरी human judgment की जगह नहीं ले सकता
  • कई engineers के collaborative environment में गलती की लागत और code की उम्र कहीं ज़्यादा महत्वपूर्ण कारक होते हैं
  • कई टीमें PR के शुरुआती चरण में AI review bots का उपयोग करती हैं, लेकिन final approval इंसानों से ही चाहती हैं
  • Graphite के Greg Foster का कहना: “AI agents असली human engineer की PR approval की जगह नहीं लेंगे”
  • सबसे बड़ी वास्तविक समस्या यह नहीं कि AI reviewer style issues छोड़ देता है, बल्कि यह है कि AI code का volume बढ़ाकर review का बोझ इंसानों पर डाल देता है
    • AI adoption बढ़ने के साथ PR size लगभग 18% बढ़ा
    • प्रति PR incidents लगभग 24% बढ़े
    • change failure rate लगभग 30% बढ़ी
  • जब output speed verification capacity से आगे निकल जाती है, तो review process पूरे development flow का speed-limiting factor बन जाती है
  • Foster का कहना: “ऐसा code deploy करना जिसे कोई साथी इंसान पढ़ या समझ नहीं सकता, बहुत बड़ा risk है”
  • team environment में AI बड़े पैमाने पर output बनाता है, इसलिए incremental development approach लागू करनी पड़ती है और agent output को reviewable commits में बाँटना होता है
  • human final approval खत्म नहीं होगा; बल्कि यह उन हिस्सों पर फोकस करने की दिशा में विकसित होगा जिन्हें AI छोड़ देता है
    (roadmap alignment, organizational और institutional context जिन्हें AI नहीं समझ पाता)

security: AI की अनुमानित कमजोरियाँ

  • security वह क्षेत्र है जहाँ human judgment बिल्कुल अनिवार्य है
  • AI-generated code के लगभग 45% में security flaws पाए गए
  • logic errors की दर इंसानों द्वारा लिखे code की तुलना में 1.75 गुना अधिक है
  • XSS vulnerabilities की आवृत्ति 2.74 गुना अधिक पाई गई
  • code की अपनी समस्याओं के अलावा, agent-based tools और AI-integrated IDEs नए attack paths भी बनाते हैं
    • prompt injection, data leaks, RCE vulnerabilities
  • जितना AI attack surface बढ़ाता है, उतना ही hybrid approach प्रभावी बनती है
    • AI issues को flag करे, इंसान final verification करें
  • नियम: authentication, payments, secrets और untrusted input को संभालने वाले code में
    AI को high-speed intern की तरह treat करें, और merge से पहले human threat-model review और security tool checks अनिवार्य रखें

review के जरिए knowledge transfer

  • code review वह मुख्य माध्यम है जिससे टीमें system context साझा करती हैं
  • अगर AI ने code लिखा लेकिन कोई उसे समझा नहीं सकता, तो on-call cost बढ़ती है
  • पूरी तरह समझे बिना AI-generated code submit करने पर टीम की resilience बनाने वाला knowledge-transfer mechanism टूट जाता है
  • अगर author यह नहीं समझा सकता कि code क्यों काम करता है, तो on-call engineer रात 2 बजे debugging नहीं कर पाएगा
  • OCaml maintainer द्वारा 13,000-line AI-generated PR ठुकराने का मामला
    • ज़रूरी नहीं कि code quality खराब थी, लेकिन इतने बड़े बदलाव को review करने के लिए review bandwidth अपर्याप्त थी
    • AI-generated code review, human-written code की तुलना में ज़्यादा cognitive load मांगता है
  • सीख: AI बहुत सारा code बना सकता है, लेकिन टीमों को review bottleneck से बचने के लिए change size नियंत्रित करनी होगी

AI review tools का उपयोग कैसे करें

  • AI review tools के बारे में user experience काफ़ी बँटा हुआ है
  • सकारात्मक पक्ष: कुछ मामलों में null pointer exceptions, test coverage gaps, anti-patterns जैसे 95%+ bugs पकड़े गए
  • नकारात्मक पक्ष: कुछ developers AI review comments को बेकार, सामान्य-सी टिप्पणियों वाला ‘text noise’ मानते हैं
  • सीख: AI review tools के लिए सावधानीपूर्वक configuration ज़रूरी है
    • sensitivity adjust करना, गैर-उपयोगी comment types बंद करना, और साफ opt-in/opt-out policy बनाना
  • सही configuration के साथ AI reviewer 70–80% आसान समस्याएँ पकड़ सकता है, और इंसान architecture व business logic पर ध्यान दे सकते हैं
  • कई टीमें, भले AI एक बार में बहुत बड़े बदलाव कर सके, फिर भी छोटे और stackable PRs की सिफारिश करती हैं
  • changes को बार-बार commit करें, और हर बदलाव को clear message के साथ self-contained unit के रूप में अलग commit/PR में संभालें
  • टीमें human accountability की स्पष्ट सीमा बनाए रखती हैं
  • AI का योगदान कितना भी हो, अंतिम जिम्मेदारी इंसानों की ही रहती है
  • IBM की training कहावत: “कंप्यूटर कभी जिम्मेदारी नहीं ले सकता। जिम्मेदारी loop के अंदर मौजूद इंसान की होती है”

PR contract: reviewer के प्रति author की जिम्मेदारी

  • चाहे solo हों या team, उभरती हुई common best practice यह है कि AI-generated code को verification की ज़रूरत वाले उपयोगी draft की तरह माना जाए
  • सबसे सफल टीमों के बीच एक सरल framework आम दिखाई देता है

  • PR contract के घटक

    1/. What/Why: बदलाव का intent और reason 1–2 वाक्यों में
    2/. काम करने का प्रमाण: test pass results और manual verification steps (screenshots/logs)
    3/. risk + AI role: बदलाव का risk level और AI ने कौन-सा हिस्सा generate किया (उदाहरण: payments feature high-risk है)
    4/. review focus: 1–2 ऐसे क्षेत्र जहाँ human review ज़रूरी है (उदाहरण: architecture)
  • यह bureaucracy नहीं है, बल्कि reviewer के समय का सम्मान करने और author accountability को स्पष्ट करने का तरीका है
  • अगर आप यह नहीं लिख सकते, तो आप अभी अपनी change को इतना नहीं समझते कि किसी और से approval मांग सकें

मुख्य सिद्धांत

  • वादों नहीं, साक्ष्य की मांग: “काम करने वाला code” baseline होना चाहिए; AI agents से code generate कराने के बाद उसे run करने या unit tests चलाने को कहें, logs, screenshots, results जैसे साक्ष्य देखें, और बिना नए tests या working demo के PR न उठाएँ
  • AI को final arbiter नहीं, first reviewer की तरह उपयोग करें: AI review output को सलाह की तरह लें; एक AI code लिखे, दूसरा review करे, और इंसान fix direction तय करे; AI review को spell-check स्तर के tool की तरह इस्तेमाल करें, editor की तरह नहीं
  • human review उन हिस्सों पर फोकस करे जिन्हें AI छोड़ देता है: security vulnerability शामिल हुई या नहीं, existing code duplication (AI की आम कमी), approach maintainable है या नहीं—इन मामलों में AI आसान समस्याएँ छाँटे, इंसान कठिन फैसले लें
  • incremental development लागू करें: काम को छोटे हिस्सों में बाँटें ताकि AI के लिए generate करना और इंसानों के लिए review करना आसान रहे; clear-message वाले छोटे commits को checkpoints की तरह उपयोग करें, और ऐसा code कभी commit न करें जिसे आप समझा न सकें
  • उच्च testing standards बनाए रखें: जो developers coding agents का प्रभावी इस्तेमाल करते हैं, वे मजबूत testing practices रखते हैं; AI से test drafts माँगें ताकि वह ऐसे edge-case tests बना सके जिन्हें इंसान अक्सर छोड़ देते हैं

आगे का नज़रिया: bottleneck शिफ्ट हो रहा है

  • AI code review को line-by-line gatekeeping से high-level quality control की ओर ले जा रहा है, लेकिन human judgment अभी भी safety के लिए अनिवार्य है
  • यह workflow का evolution है, code review का अंत नहीं
  • code review का दायरा सिर्फ code diff तक सीमित नहीं रहेगा, बल्कि AI और author के बीच हुई बातचीत या plans भी इसमें शामिल होंगे
  • human reviewer की भूमिका धीरे-धीरे editor या architect जैसी होती जाएगी; वे महत्वपूर्ण निर्णयों पर ध्यान देंगे और routine checks के लिए automation पर भरोसा करेंगे
  • solo developers के लिए आगे का रास्ता रोमांचक है, लेकिन चाहे नए tools कितने भी आ जाएँ, समझदार developer ‘trust but verify’ की नीति बनाए रखेगा
  • बड़े पैमाने की टीमों में AI governance के मजबूत होने की संभावना है
    • AI contributions पर policies को औपचारिक रूप दिया जाएगा, और कर्मचारियों से direct review approval मांगी जाएगी
    • ‘AI code auditor’ जैसी भूमिकाएँ उभर सकती हैं
    • enterprise platforms multi-repository context और custom policy enforcement के बेहतर support की दिशा में विकसित होंगे
  • मुख्य सिद्धांत नहीं बदलता: code review यह सुनिश्चित करता है कि software requirements पूरी करे, सुरक्षित हो, मज़बूत हो और maintainable हो
  • AI इस बुनियाद को नहीं बदलता, सिर्फ वहाँ तक पहुँचने का तरीका बदलता है
  • development का bottleneck code लिखने से हटकर यह साबित करने की प्रक्रिया पर जा रहा है कि वह काम करता है
  • AI युग का बेहतरीन code reviewer इस बदलाव को अपनाता है, लेकिन AI को mechanical काम तेज़ करने देते हुए भी जिम्मेदारी की रेखा बनाए रखता है
  • AI process को accelerate कर सकता है, लेकिन जिम्मेदारी abdicate करने का बहाना नहीं बनना चाहिए
  • engineers धीरे-धीरे ‘vibes से ज़्यादा proof’ को महत्व देंगे
  • code review गायब नहीं हुआ है; वह और रणनीतिक भूमिका में बदल रहा है
  • चाहे रात 2 बजे deploy करने वाला solo developer हो या critical system change approve करने वाला team lead, एक बात समान है: AI द्वारा बनाए गए नतीजों की अंतिम जिम्मेदारी इंसान की है
  • AI को अपनाइए, लेकिन काम को दोबारा जांचने की आदत बनाए रखिए

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.