Codacy가 GitHub App 기반 통합으로 OAuth 토큰 없이 PR당 1~3분 내 코드 품질 검사 자동화

Context

GitHub에서 코드 품질을 자동으로 검사하려면 기존 OAuth 기반 통합 또는 수동 설정이 필요했다. 조직 전체에 동일한 분석 규칙을 적용하되 저장소별 맞춤 설정을 유지하기가 복잡했다.

Technical Solution

• GitHub App 설치로 OAuth 토큰 제거: 저장소 콘텐츠 읽기, PR 상태 체크 쓰기, 웹훅 이벤트 관리를 granular permission으로 분리
• 변경 파일만 스캔하는 PR 분석: 전체 저장소 분석(2~15분) 대신 PR마다 수정된 부분만 검사해 분석 시간 단축
• .codacy.yml 파일로 버전 관리형 설정: 대시보드 UI 설정 대신 저장소 루트의 YAML 파일로 분석 도구, 제외 대상, 언어별 규칙을 정의
• 초기 분석 자동화 파이프라인: 저장소 추가 시 언어 감지 → 도구 선택 → 전체 파일 스캔 → 대시보드 보고서 생성을 순차 실행
• GitHub Actions 연동 커버리지 업로드: CI 파이프라인에서 공식 Action으로 커버리지 리포트를 수집해 회귀 추적

Impact

• PR 분석 소요 시간: 1~3분
• 초기 중규모 저장소(5만~10만 줄) 분석 시간: 5~8분
• 통합 설치 소요 시간: 10분 미만
• 전체 설정 완료(패턴, 품질 게이트, 커버리지 포함): 20~30분

Key Takeaway

GitHub App은 personal access token 없이도 granular permission으로 보안을 강화하고, 증분 분석으로 PR 피드백 속도를 높인다. 저장소별 YAML 설정을 통해 중앙 집중식 정책과 로컬 맞춤화를 동시에 달성할 수 있다.