owasp-noir/noir

文档 • 安装 • 使用 • 贡献

Noir 通过分析源代码来生成准确且经过认证的端点清单，从而弥合了 SAST 和 DAST 之间的鸿沟。它能检测到其他工具遗漏的内容：影子 API、已弃用的端点以及隐藏的路由。 通过避开过时的文档和代理，Noir 利用您的源代码提供全面且可操作的攻击面清单。这一单一事实来源为白盒安全团队和渗透测试人员提供了有力支持，并可直接与 DAST 解决方案集成，从而消除 DevSecOps 流程中的测试盲点。 ## 为什么选择 Noir？ - 攻击面发现：分析源代码以识别应用程序的完整攻击面，包括隐藏端点、影子 API 和其他安全盲点。 - AI 驱动分析：利用大型语言模型 (LLM) 检测任何语言或框架中的端点——即使是原生不支持的框架。 - SAST 到 DAST 的桥梁：将静态代码分析与动态测试连接起来，通过向 DAST 工具提供发现的端点，实现更全面和准确的安全扫描。 - DevSecOps 就绪：专为无缝集成到安全管道而设计，支持 ZAP、Burp Suite、Caido 等工具。 - 多格式输出：以 JSON、YAML、TOML、OpenAPI 规范和其他格式提供结果，便于与您现有的工作流集成。 ## 使用方法 ``` noir -h ``` 示例 ``` noir -b ``` 如果您结合 Github Action 使用，请参阅此[文档](/github-action)。  欲了解更多详情，请访问我们的[文档](https://owasp-noir.github.io/noir/)页面。 ## 路线图 我们计划扩展支持的编程语言和框架范围，并持续提高准确性。此外，我们将利用 AI 和大型语言模型 (LLM) 显著拓宽我们的分析能力。 最初构想为辅助白盒测试的工具，我们的近期目标仍然是在 DevSecOps 流程中从源代码中提取并提供端点。这使得动态应用程序安全测试 (DAST) 工具能够进行更准确和稳定的扫描。 展望未来，我们的目标是让我们的工具演变成一座关键的桥梁，无缝连接源代码与 DAST 及其他安全测试工具，从而促进更集成、更有效的安全态势。 ## 新闻与更新 * 2025 年 10 月：在 OWASP Seoul Meetup 上发表演讲。 * 2024 年 11 月：在 ZAP 博客上发布了客座博文 [“利用 ZAP 和 Noir 增强 DAST 能力”](https://www.zaproxy.org/blog/2024-11-11-powering-up-dast-with-zap-and-noir/)。 * 2024 年 6 月：以 OWASP Noir 的名义加入 OWASP * 将 GitHub 组织从 noir-cr 更名为 owasp-noir * 转为由 [@ksg97031](https://github.com/ksg97031) 共同领导 * 2023 年 11 月：将 Noir 仓库迁移至 noir-cr GitHub 组织。 * 2023 年 8 月：作为 [@hahwul](https://github.com/hahwul) 的个人项目启动。 ## 贡献 Noir 是一个用 ❤️ 制作的开源项目。 如果您想做出贡献，请查看 [CONTRIBUTING.md](./CONTRIBUTING.md) 并提交 Pull Request。 [](https://github.com/owasp-noir/noir/graphs/contributors) ## 吉祥物 |  | 我们的吉祥物是 Hak (학)，一只象征着优雅和发现隐藏缺陷的精确性的鹤。在韩语中，“학”的意思是“鹤”，代表一位敏锐的盟友，深入挖掘以发现您代码中的漏洞和攻击面。

欲了解更多与 Hak 相关的艺术作品和资源，请查看 [noir-artwork 仓库](https://github.com/owasp-noir/noir-artwork)。| | -------------- | -------------- |

标签：API安全, API网关, Crystal语言, DAST, DevSecOps, IP 地址批量处理, JSON输出, SAST, 上游代理, 云安全监控, 代码分析, 凭证管理, 密码管理, 影子API, 微服务安全, 恶意软件分析, 攻击面梳理, 白盒测试, 盲注攻击, 网络安全, 路径扫描, 隐私保护, 静态分析