
Depuis plusieurs années, les attaques contre la chaîne d’approvisionnement logicielle sont devenues l’une des préoccupations majeures des équipes sécurité. Les incidents impliquant des dépendances compromises, des packages malveillants ou des bibliothèques vulnérables ont montré qu’un simple composant logiciel pouvait compromettre une infrastructure entière.
Dans les architectures modernes basées sur le cloud et les microservices, une application peut dépendre de centaines de bibliothèques open source, chacune ayant ses propres dépendances. Cette complexité rend extrêmement difficile la compréhension de ce qui compose réellement un logiciel.
C’est précisément ce problème que tente de résoudre GUAC (Graph for Understanding Artifact Composition), un projet open source soutenu par l’OpenSSF et adopté de plus en plus largement dans l’écosystème DevSecOps en 2026.
Une cartographie complète de la supply chain
GUAC repose sur une idée relativement simple : construire un graphe complet des artefacts logiciels afin de comprendre leurs relations. Au lieu de simplement analyser un package isolé, la plateforme relie plusieurs sources d’information pour créer une vue globale de la chaîne logicielle.
Les informations utilisées peuvent provenir de plusieurs types de documents ou de métadonnées, notamment les SBOM (Software Bill of Materials), les attestations de build, les signatures cryptographiques et les bases de données de vulnérabilités.
En combinant ces données, GUAC est capable de construire un graphe reliant les composants logiciels, leurs dépendances et les processus de build qui les ont produits.

Pourquoi la supply chain est devenue critique
Les attaques supply chain exploitent souvent un point faible dans une dépendance logicielle plutôt que dans l’application principale. Une bibliothèque compromise peut introduire du code malveillant dans des milliers de projets sans que les développeurs ne s’en rendent compte.
Des incidents célèbres comme SolarWinds ou Log4Shell ont montré à quel point une seule vulnérabilité pouvait avoir un impact global.
Avec GUAC, les équipes sécurité peuvent interroger le graphe pour identifier rapidement quels artefacts sont affectés par une vulnérabilité spécifique.
Une approche basée sur les graphes
Le cœur de GUAC repose sur une base de données orientée graphe. Cette approche permet de représenter les relations entre composants logiciels, builds, signatures et vulnérabilités.
Lorsqu’une nouvelle vulnérabilité est publiée, il devient possible d’interroger le graphe pour savoir instantanément quels artefacts sont concernés et dans quels environnements ils sont utilisés.
Exemple d’interrogation du graphe
guac query vulnerabilities --package log4j
Cette commande permet par exemple d’identifier les artefacts dépendant d’un composant vulnérable.
Intégration dans les pipelines DevSecOps
GUAC peut être intégré dans les pipelines CI/CD afin d’analyser automatiquement les artefacts produits lors du build d’une application. Les SBOM générés pendant le processus peuvent être ingérés dans le graphe afin d’améliorer la visibilité sur la chaîne logicielle.
Cette approche permet aux équipes sécurité de détecter plus rapidement les composants vulnérables ou les dépendances suspectes.

Une adoption croissante en 2026
En 2026, la sécurité de la supply chain est devenue une priorité pour de nombreuses organisations. Les exigences réglementaires et les bonnes pratiques de sécurité encouragent désormais les entreprises à produire des SBOM et à surveiller leurs dépendances logicielles.
Dans ce contexte, des projets comme GUAC jouent un rôle important en offrant une plateforme capable d’analyser ces données à grande échelle.
Ressources
Conclusion
À mesure que les logiciels deviennent plus complexes et que les dépendances open source se multiplient, la visibilité sur la chaîne d’approvisionnement logicielle devient essentielle. GUAC propose une approche innovante basée sur l’analyse de graphes pour aider les équipes sécurité à comprendre et surveiller les composants qui composent leurs applications.
Dans un monde où les attaques supply chain se multiplient, disposer d’outils capables de cartographier ces dépendances pourrait devenir une composante clé de la sécurité des infrastructures modernes.



