OWASP Noir v0.26.0 : une nouvelle version pour mieux connaitre les points d'entrée dans vos codes.

La version v0.26.0 de Noir marque une étape importante pour cet outil open source dédié à la cartographie de surface d’attaque à partir du code source. Cette release étend significativement la couverture des frameworks (Scala, Swift Vapor, TypeScript NestJS, ASP.NET Core MVC) et améliore la détection des endpoints complexes, notamment multi-lignes ou multi-paramètres. Côté exploitation, l’ajout de nouveaux formats de sortie (Postman v2.1, HTML, PowerShell) et de taggers (GraphQL, JWT, FileUpload) facilite l’intégration dans les chaînes DevSecOps et les outils de test existants.

Noir se positionne clairement entre le SAST et le DAST, sans chercher à les remplacer. Là où le SAST analyse le code pour identifier des failles logiques ou de mauvaises pratiques, et où le DAST teste dynamiquement une application via des requêtes HTTP, Noir se concentre sur un angle souvent négligé : l’inventaire réel et exhaustif des points d’entrée exposés. En exploitant le code source comme source de vérité, il révèle des routes obsolètes, non documentées ou inaccessibles via un proxy, réduisant ainsi les angles morts des scans dynamiques.

Cette approche intermédiaire renforce l’efficacité des tests DAST et apporte une valeur immédiate aux équipes sécurité en quête de visibilité opérationnelle.

Source : OWASP