bra0 / Docs / Guides / Decision Trail
Guide

Decision Trail & Audit Evidence Traçabilité décisionnelle & preuves d'audit

Connect the artifacts you already have — Git, tickets, ADRs, docs, controls, policies, incidents — into one living evidence graph. Then ask grounded operational questions and get answers tied to real artifacts. This guide shows what a bra0 demo actually does: three worked scenarios, each with the evidence chain attached. Reliez les artefacts que vous avez déjà — Git, tickets, ADR, docs, contrôles, politiques, incidents — en un seul graphe de preuves vivant. Puis posez des questions opérationnelles ancrées et obtenez des réponses reliées à des artefacts réels. Ce guide montre ce qu'une démo bra0 fait réellement : trois scénarios travaillés, chaîne de preuves attachée.

Prerequisites: the topo CLI installed (pnpm add -g @bra0/topo-cli). Point it at a Git repository and a ticket tracker. No server, no account — bra0 reads in place and nothing leaves your perimeter. la CLI topo installée (pnpm add -g @bra0/topo-cli). Pointez-la vers un dépôt Git et un tracker de tickets. Aucun serveur, aucun compte — bra0 lit sur place et rien ne quitte votre périmètre.

The three questions a decision trail answers Les trois questions auxquelles répond une traçabilité décisionnelle

Most operational reasoning reduces to three recurring questions. The scenarios below each ground one of them in real artifacts. L'essentiel du raisonnement opérationnel se ramène à trois questions récurrentes. Chaque scénario ci-dessous en ancre une dans des artefacts réels.

Decisions & rationale
Why is our system the way it is?
Understand and explain critical decisions without digging through dozens of systems.
Impact & change
What is the real impact of this change?
Analyze impact not just on code, but on commitments, risks and controls.
Evidence & audit
How do we prove our controls are applied?
Prepare audits and architecture reviews from evidence packs, not from documentary archaeology.

Traceable, opposable, verifiable answers. Des réponses traçables, opposables, vérifiables.

How it works — five steps, one living graph Comment ça marche — cinq étapes, un graphe vivant

From scattered artifacts to grounded evidence. Connect what you already have, let bra0 link what belongs together, then query, ask and export. Des artefacts éparpillés aux preuves ancrées. Connectez ce que vous avez déjà, laissez bra0 relier ce qui va ensemble, puis interrogez, demandez et exportez.

1

Connect your sourcesConnectez vos sources

Tickets, Git repos, ADRs, docs, controls, policies, incidents. bra0 reads in place — nothing leaves your perimeter. Tickets, repos Git, ADR, docs, contrôles, politiques, incidents. bra0 lit sur place — rien ne quitte votre périmètre.

Terminal
# Ingest Git + tickets into the evidence graph
topo connect git ./my-repo
topo connect jira --project MYPROJ
2

Link decisions to changeReliez décisions et changements

bra0 maps how requirements, decisions, changes and controls relate. The chain requirement → decision → change → control → evidence becomes visible. bra0 cartographie comment exigences, décisions, changements et contrôles se relient. La chaîne exigence → décision → changement → contrôle → preuve devient visible.

3

See where grounding is weakRepérez où l'ancrage est faible

Spot decisions without evidence, changes without rationale, and controls without proof. Risk surfaces before auditors do. Repérez les décisions sans preuve, les changements sans rationnel et les contrôles sans attestation. Le risque remonte avant les auditeurs.

4

Ask grounded questionsPosez des questions ancrées

Ask why something is built this way, what changed, which control applies, what proof exists — and get answers tied to real artifacts. Demandez pourquoi c'est construit ainsi, ce qui a changé, quel contrôle s'applique, quelle preuve existe — et obtenez des réponses reliées à des artefacts réels.

Terminal
# Query the decision trail for any component
topo why "auth-service"
5

Generate evidence packsGénérez les dossiers de preuves

Prepare architecture reviews, AI risk assessments and audits from curated trails — not spreadsheets and screenshots. Préparez revues d'architecture, analyses de risque IA et audits à partir de pistes curées — pas de tableurs ni de captures d'écran.

Terminal
# Export an evidence pack for a control
topo pack --framework iso27001 --control A.8.2

Three worked scenarios Trois scénarios travaillés

Real operational questions. Traceable, opposable, verifiable answers — live queries against your Knowledge Space, with the evidence chain attached. Questions opérationnelles réelles. Réponses traçables, opposables, vérifiables — des requêtes en direct sur votre Knowledge Space, chaîne de preuves attachée.

Scenario 01 · Architecture
"Why did we choose this architecture pattern?" « Pourquoi avons-nous choisi ce pattern d'architecture ? »
Ask any component. bra0 returns the ADR, the ticket that triggered it, the code changes that implemented it, the trade-offs considered, and the author. Rationale stops being lost knowledge. Interrogez n'importe quel composant. bra0 retourne l'ADR, le ticket déclencheur, les changements de code qui l'ont implémenté, les arbitrages considérés, et l'auteur. Le rationnel cesse d'être une connaissance perdue.
ADR
+ code + ticket
<5s
to answer
0
archaeology
Scenario 02 · Change Impact
"Which changes this quarter lack change-control evidence?" « Quels changements ce trimestre n'ont pas de preuve de change-control ? »
bra0 detects orphan commits, tickets without rationale, changes impacting documented controls without approval. Surface the risk before the auditor does — and before the outage hits production. bra0 détecte les commits orphelins, les tickets sans rationnel, les changements impactant des contrôles documentés sans approbation. Faites remonter le risque avant l'auditeur — et avant que l'incident n'arrive en production.
100%
changes linked
0
blind spots
impact dry-runs
Scenario 03 · Audit
"Prepare the audit dossier for ISO 27001 A.8.2." « Prépare le dossier d'audit pour ISO 27001 A.8.2. »
bra0 compiles an evidence pack: every control statement, its implementing assets, tickets that modified them, approvals, incident log, and the PROV-O chain. Drop it on the auditor's desk. Done in minutes, not days. bra0 compile un dossier de preuves : chaque déclaration de contrôle, les actifs qui l'implémentent, les tickets qui les ont modifiés, les approbations, le journal d'incidents, et la chaîne PROV-O. Déposée sur le bureau de l'auditeur. Fait en minutes, pas en jours.
NIS2
DORA / ISO
PROV-O
evidence chain
0
manual fill

Go deeper Aller plus loin

IT Systems Diagnostic — model an application portfolio and turn governance rules into SHACL findings (the architecture and change-impact scenarios, fully worked).
GRC Cybersecurity — compliance claims with PROV-O traceability for NIS2, DORA and ISO 27001 evidence packs.
CLI Reference (topo) — the full connect, why and pack command reference. Diagnostic SI — modélisez un portefeuille applicatif et transformez les règles de gouvernance en constats SHACL (les scénarios architecture et impact, entièrement travaillés).
GRC Cybersécurité — déclarations de conformité avec traçabilité PROV-O pour les dossiers NIS2, DORA et ISO 27001.
Référence CLI (topo) — la référence complète des commandes connect, why et pack.

Previous Getting Started Next IT Systems Diagnostic