Lokale Git Hooks sind der Anfang – aber Code-Qualität entscheidet sich in der Pipeline
„Works on my machine” ist kein Qualitätsstandard. Die Frage ist nicht, ob automatisierte Quality Gates sinnvoll sind – sondern wo sie sitzen, was sie prüfen, und wie weit man bereit ist zu gehen. Husky und GitHub CI sind der Einstieg. Was dabei oft übersehen wird: Qualität fängt schon vor dem ersten Commit an, und endet nicht beim grünen Build.
Shift Left: Fehler früher finden
Das Prinzip hinter jedem Quality-Gate-Setup heißt Shift Left – Probleme so früh wie möglich im Entwicklungsprozess entdecken, weil sie dort am günstigsten zu beheben sind. Ein Tippfehler im Linter kostet Sekunden. Derselbe Fehler, der erst im Review auffällt, kostet Minuten eines anderen Entwicklers. Im Produktionsbug kostet er Stunden oder mehr.
Husky sitzt ganz links: lokal, vor dem Commit. GitHub CI sitzt danach, vor dem Merge. Beide decken unterschiedliche Szenarien ab – und keines ersetzt das andere.
Husky: Die lokale Schicht
Husky macht Git Hooks zum Teil des Repos. Git bringt Hooks von Haus aus mit, aber sie liegen in .git/hooks/ – nicht versioniert, nicht für alle Entwickler aktiv. Husky löst das: Hooks werden eingecheckt und greifen für jeden, der das Repo klont.
Drei Hooks decken die wichtigsten Szenarien ab:
| Hook | Zeitpunkt | Typischer Einsatz |
|---|---|---|
pre-commit | vor jedem Commit | Linting, Formatierung (via lint-staged) |
commit-msg | nach Eingabe der Message | Conventional Commits prüfen |
pre-push | vor dem Push | Vollständige Testsuite |
lint-staged ist dabei der entscheidende Companion: statt die gesamte Codebase zu linten, prüft es nur Dateien im Staging-Bereich. Der Hook läuft in Sekunden, nicht Minuten.
commitlint erzwingt Conventional Commits (feat:, fix:, chore:) lokal – bevor ein falsch formatierter Commit überhaupt den Server erreicht. Das zahlt sich aus, sobald Changelogs oder semantisches Versioning automatisiert werden sollen.
Die Grenze von Husky: Hooks lassen sich mit --no-verify umgehen. Neue Entwickler müssen Husky aktiv eingerichtet haben. Als einziges Quality-Gate ist es nicht ausreichend.
GitHub CI: Die durchsetzende Schicht
GitHub Actions läuft immer – auf einer definierten, sauberen Umgebung, unabhängig davon, was lokal eingerichtet ist. Ein Basis-Workflow für PRs:
# .github/workflows/ci.yml
name: CI
on: [push, pull_request]
jobs:
quality:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: actions/setup-node@v4
with:
node-version: 22
cache: 'npm'
- run: npm ci
- run: npm run lint
- run: npm run type-check
- run: npm run test
- run: npm run buildMit Branch Protection Rules werden CI-Checks zur Merge-Voraussetzung: kein grüner Build, kein Merge. Das schließt die Lücke, die --no-verify offenlässt.
Was CI wirklich prüfen kann – jenseits von Lint
Linting und Tests sind der Einstieg. Eine reife CI-Pipeline prüft mehr:
Coverage-Schwellen: Tests laufen zu lassen reicht nicht – wenn Coverage unter einen Schwellwert fällt, schlägt der Build fehl. Tools wie Codecov oder Istanbul machen Coverage sichtbar und erzwingbar.
Bundle Size: size-limit misst, ob eine Änderung das JavaScript-Bundle über eine definierte Grenze treibt. Relevant für jedes frontend-lastige Projekt – ein PR, der das Bundle um 30% vergrößert, sollte auffallen, bevor er gemergt wird.
Performance Budgets: Lighthouse CI führt Lighthouse-Audits in der Pipeline aus und kann bei Score-Verschlechterung fehlschlagen. Für öffentliche Websites ein wertvoller Schutz vor unbemerkten Performance-Regressionen.
Security Scanning: CodeQL (direkt in GitHub integriert) analysiert Code statisch auf Sicherheitslücken – SQL Injection, XSS, unsichere Deserialisierung. Semgrep ist die flexiblere Alternative mit eigenen Regelsets. Beide laufen als GitHub Action, ohne externe Dienste.
Dependency Audits: npm audit oder Snyk in CI kombiniert mit Renovate oder Dependabot ergibt eine vollständige Sicherheitsschicht – Updates kommen rein, Lücken werden aktiv gemeldet.
KI im CI-Prozess
Der wachsende Einsatz von KI in der Pipeline verändert, was automatisch prüfbar ist – und verschiebt die Grenze zwischen „Tool-Check” und „inhaltlichem Review”.
AI Code Review: mehr als Stil-Checks
CodeRabbit ist der bekannteste Vertreter: Es liest jeden PR, fasst die Änderungen zusammen, kommentiert inline auf konkrete Zeilen und erkennt Logikfehler, Sicherheitsprobleme, fehlende Edge-Cases und Stil-Inkonsistenzen. Besonders nützlich: CodeRabbit lernt aus abgelehnten Kommentaren – wer ein Muster als irrelevant markiert, sieht es beim nächsten PR nicht wieder.
GitHub Copilot Code Review ist seit 2025 direkt in GitHub integriert und braucht keine externe App. Der Fokus liegt auf schnellen, kontextuellen Hinweisen direkt im PR-Interface. Weniger konfigurierbar als CodeRabbit, dafür null Einrichtungsaufwand.
Qodo (ehemals CodiumAI) geht einen anderen Weg: statt den bestehenden Code zu reviewen, generiert es auf Basis geänderter Dateien konkrete Test-Cases – mit Beschreibung, was getestet wird und warum. Das adressiert eine der häufigsten Coverage-Lücken: Tests, die niemand schreibt, weil der Edge-Case nicht offensichtlich war.
Keines dieser Tools ersetzt menschliches Review. Sie sind Vorfilter – und ein guter Vorfilter bedeutet, dass im echten Review die interessanten Fragen besprochen werden, nicht die offensichtlichen.
Failure Analysis: Schnellere Diagnose
Wenn ein Build fehlschlägt, beginnt oft eine manuelle Suche durch Logs und Stacktraces. GitHub Copilot kann direkt in der Actions-Oberfläche erklären, warum ein Job failed ist – Fehlermeldung, wahrscheinliche Ursache, mögliche Fixes. Das verkürzt den Feedback-Loop, besonders bei Fehlern in unbekannten Teilen des Stacks.
Selektives CI: Nur laufen lassen, was relevant ist
Eine unterschätzte Anwendung: KI-gestützte Test-Selektion. Tools wie Launchable analysieren, welche Tests historisch bei bestimmten Änderungen fehlschlagen, und empfehlen eine priorisierte Teilmenge. Statt die vollständige Testsuite bei jedem Commit durchzulaufen, werden zunächst die wahrscheinlichsten Fehlerquellen geprüft – mit erheblich kürzeren Feedback-Zeiten.
Das ist kein Ersatz für vollständige Testläufe vor dem Merge, aber eine sinnvolle Optimierung für schnelles lokales Feedback.
AI-generierte PR-Beschreibungen und Changelogs
Conventional Commits sind die Grundlage – aber aus ihnen automatisch lesbare Changelogs und PR-Beschreibungen zu generieren ist heute Standard. Release Please von Google erstellt auf Basis von Conventional Commits automatisiert Release-PRs mit strukturierten Changelogs. GitHub Copilot und Dependabot generieren PR-Beschreibungen direkt aus Diffs.
Das reduziert die kognitive Last bei wiederkehrenden Aufgaben – und macht Changelogs konsistenter, weil sie nicht mehr von der Disziplin einzelner Entwickler abhängen.
Security-spezifische KI-Analyse
Snyk nutzt KI zur Priorisierung: nicht jede CVE ist gleich gefährlich – entscheidend ist, ob eine Lücke im eigenen Codepath tatsächlich erreichbar ist. Snyk analysiert den Aufrufgraphen und unterscheidet zwischen theoretischen und tatsächlichen Risiken. Das reduziert Alert-Fatigue erheblich.
Socket.dev analysiert das Verhalten neuer Package-Versionen proaktiv mit KI: ungewöhnliche Netzwerkzugriffe, neue Installationsskripte, verdächtige Code-Änderungen – bevor eine CVE überhaupt existiert. Supply-Chain-Angriffe werden so frühzeitig erkennbar.
Wenn KI den Code schreibt: CI als Verifikationsschicht
Der Einsatz von KI-Assistenten verändert, wofür CI gebaut war – aber nicht dahin, dass es überflüssig wird. Im Gegenteil: Automatisierte Quality Gates werden wichtiger, nicht weniger wichtig.
Wenn ein Entwickler Code schreibt, prüft CI, ob er die Anforderungen erfüllt. Wenn ein KI-Agent Code schreibt, prüft CI dasselbe – aber mit einer zusätzlichen Dimension: Der Autor kennt den Codebase nicht vollständig, hat keine lokale Testumgebung, und seine Ausgabe ist probabilistisch, nicht deterministisch. Was überzeugend korrekt aussieht, muss nicht korrekt sein. Genau hier wird Automatisierung zur Überwachungsschicht, nicht nur zur Convenience.
Typchecks sind nicht überzeugbar. Ein Sprachmodell, das eine Funktion mit falschem Rückgabetyp generiert, bekommt vom TypeScript-Compiler dasselbe Feedback wie ein menschlicher Entwickler. Keine Höflichkeitsabzüge, kein Kontextfaktor – der Fehler ist ein Fehler. Das gilt umso mehr für Architectural Lint-Regeln: Wenn keine direkten Cross-Imports zwischen pages/ erlaubt sind, schlägt ESLint an – unabhängig davon, ob der Verstoß von einem Menschen oder einer KI stammt.
Tests sind menschliche Spezifikationen. Wenn ein Team eine Testsuite gepflegt hat, bevor KI-Tools zum Einsatz kamen, ist diese Suite ein formaler Vertrag: So soll das System sich verhalten. KI-generierter Code muss diesen Vertrag erfüllen. Tests, die fehlschlagen, zeigen nicht nur Bugs – sie zeigen Missverständnisse zwischen dem, was die KI generiert hat, und dem, was das System tatsächlich tun soll. Eine gute Testsuite ist damit auch eine Spezifikation, gegen die KI-Ausgaben geprüft werden.
Security-Scans werden relevanter, nicht weniger. KI-Modelle kennen bekannte Angriffsmuster aus Trainingsdaten, aber sie können neue Kombinationen erzeugen, die keine bekannte CVE haben. CodeQL und Semgrep analysieren Dataflows und Aufrufpfade – nicht die Plausibilität von Code. Ein SQL-Statement, das durch variable Verkettung entsteht, ist ein Risiko, egal wie sauber der umgebende Code aussieht.
Bundle Size und Performance-Budgets schützen vor stillen Regressionen. KI-Assistenten finden funktionierende Lösungen – nicht zwingend die kleinsten. Eine Abhängigkeit, die im Training häufig vorkam, wird hinzugefügt, auch wenn eine leichtere Alternative existiert. size-limit und Lighthouse CI fangen das auf, bevor es im Produktionsbuild landet.
Die konzeptuelle Verschiebung ist bedeutsam: CI war dafür gebaut, menschliche Fehler zu fangen. Es wird jetzt zum Werkzeug, das KI-Ausgabe in einen verifizierbaren Zustand überführt. Der Entwickler, der KI-generierten Code in einen PR einstellt, delegiert nicht die Verantwortung – er nutzt CI als Nachweis, dass die Ausgabe die definierten Anforderungen erfüllt. Das ist keine Kritik an KI-Tools, sondern eine realistische Einordnung: KI generiert, CI verifiziert. Wer beides hat, ist besser aufgestellt als wer nur eines von beiden.
Qualität als messbare Größe: DORA-Metriken
CI ist nicht nur ein Werkzeug gegen Fehler – es ist ein Enabler für schnelle, verlässliche Entwicklung. Die DORA-Metriken (Deployment Frequency, Lead Time for Changes, Change Failure Rate, Time to Restore) messen, wie gut ein Engineering-Team liefert.
Ein gut konfigurierter CI-Prozess senkt die Change Failure Rate (weniger Produktions-Bugs) und verkürzt die Lead Time (kein manuelles Quality-Check-Bottleneck). Teams, die beide Metriken verbessern wollen, investieren fast immer zuerst in ihre CI-Pipeline.
Die vollständige Schicht
Entwickler staged Änderungen lokal.
Nur geänderte Dateien werden gelintet und formatiert – schnell, lokal, umgehbar.
Conventional Commit Format wird geprüft, bevor die Message gespeichert wird.
Ab hier läuft alles remote – unabhängig von lokaler Konfiguration.
ESLint, TypeScript-Check, vollständige Testsuite auf sauberer Umgebung.
Codecov-Schwellen, size-limit für Bundle-Größe, Lighthouse CI für Performance.
Statische Analyse auf Sicherheitslücken, Dependency-Audit gegen bekannte CVEs.
Automatische Inline-Kommentare zu Logik, Edge Cases und fehlenden Tests.
Merge ist erst möglich, wenn alle Required Status Checks grün sind.
Nicht jedes Projekt braucht alle Schichten. Aber wer anfängt, sie zu kennen, trifft bewusstere Entscheidungen darüber, was er weglässt – und warum.
Für den Einstieg: Husky mit lint-staged, ein einfacher CI-Workflow, Branch Protection. Das kostet eine Stunde und hebt die Baseline sofort an.