KVASNIČKA, J. Plugin pro analýzu rizik v kódu [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Student pracoval samostatně a během řešení musel vyřešit celou řadu technických problémů, jelikož se jednalo o obtížnější zadání. O dosaženém pokroku jsem byl nepravidelně informován. Některé části práce nebyly vypracovány úplně dle mých představ a byly spracovány spíše minimalisticky (rozšíření analyzátoru jsou spíše jednoduššího rázu). Na druhou stranu je pravděpodobné, že se programové řešení bude skutečně používat. Když toto vše vezmu v úvahu, hodnotím známkou C - dobře .
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Práci považuji za obtížnějšího charakteru. Vyžadovala nastudování technik statické analýzy, nástroje Eclipse a v neposlední řadě také architekturu analyzátoru využívanou společností BOC-Group, který měl student rozšířit o nové analýzy. Zadání považuji za splněné, i když v některých aspektech minimalisticky (zejména část věnující se vyhodnocení). | ||
| Práce s literaturou | Student si vyhledával zdroje aktivně samostatně. V případě potřeby se řídil doporučenou literaturou. | ||
| Aktivita během řešení, konzultace, komunikace | Aktivita studenta byla v průběhu řešení spíše kolísavá. Na jednu stranu mě student průběžně (i když nepravidelně) informoval o dosaženém postupu, na druhou stranu řešení klíčových částí práce jsem musel více urgovat. Části technické zprávy byly průběžně konzultovány. | ||
| Aktivita při dokončování | Práce byla dokončována spíše ve spěchu, což určitě poznamenalo výslednou kvalitu. Ačkoliv text práce byl konzultován, ne všechny připomínky se podařilo zapracovat. | ||
| Publikační činnost, ocenění | Publikační činnosti si nejsem vědom. Dle studentových ohlasů, by se rozšíření analyzátoru mělo začít ve společnosti používat. |
Bakalářská práce pana Jaroslava Kvasničky se zabývá integrací analyzátoru kódu do vývojového studia Eclipse a návrhem a implementací nových analýz zdrojového kódu. Řešení je funkční, ale nové analýzy jsou jednoduššího charakteru. Z tohoto důvodu (a důvodů popsaných podrobně výše) hodnotím bakalářskou práci pana Kvasničky známkou D ( uspokojivě ).
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Jde o průměrně obtížné zadání, kde hlavním cílem bylo seznámit se s infrastrukturou firmy BOC-GROUP pro analýzu kódu, rozhraním pro pluginy vývojářského prostředí Eclipse, propojit je, a vytvořit nové detektory potenciálně problematického kódu. Zadání šlo uchopit různymi způsoby (na základě toho, jaké vlastní detekce student navrhl a implementoval), v tomto případě si student vybral snazší cestu. | ||
| Rozsah splnění požadavků zadání | Zadání bylo splněno. | ||
| Rozsah technické zprávy | Technická zpráva je v obvyklém rozmezí. | ||
| Prezentační úroveň technické zprávy | 75 | Práce má logickou strukturu, kapitoly na sebe navazují, práce je pochopitelná. Kapitola o statické analýze (a obecně tento pojem) je v práci omezen na velmi jednoduchou analýzu na úrovni linterů, i když kniha Rival & Yi v doporučené literatuře se zabývá problematikou mnohem obecněji. Kapitola 4 o Eclipse se zabývá zbytečnými detaily, např. typ build verzemi Eclipse. V kapitole 7 je až příliš rozsáhlé vysvětlení GDPR, které je po technické stránce nezajímavé. | |
| Formální úprava technické zprávy | 83 | Práce je psána v angličtině s menším množstvím chyb. V textu se občas objevují neodkazované obrázky. | |
| Práce s literaturou | 65 | Odkazovaná literatura jsou převážně různé webové stránky, dokumentace, či manuály, tedy ne vhodná. Očekával bych třeba nějaký stručný popis a odkaz na doporučovanou knihu o statické analýze Rival & Yi, články o útocích typu ReDoS, atp. Ohledně statické analýzy kódu existuje spousta odborného textu, se kterým by bylo vhodné, aby se student seznámil, což se bohužel nestalo. Citace jsou v některých případech nevhodné (např. citace Evropské unie jako autora nařízení GDPR jako "Union, E."). | |
| Realizační výstup | 60 | Student naimplementoval plugin do Eclipse umožňující v editoru přímo zobrazovat řádky kódu, u kterých statický analyzátor MFB Analyzer hlásí varování. Student dále navrhl a naimplentoval několik dalších analýz zdrojového kódu, které integroval pomocí MFB Analyzeru do vývojového procesu. Je velká škoda (a je to hlavní důvod mého nižšího hodnocení této práce), že student zůstal jen u několika ne příliš obtížných analýz a další, zajímavější analýzy, jen popsal v textu v kapitole 9 jako možná rozšíření, ale do implementace se už nedostaly. Dále není příliš přesvědčivé, že spuštění implementovaných analýz na produkčním kódu firmy nenašlo žádné varování. Ohledně první části práce (integrace do Eclipse) by bylo vhodné udělat průzkum mezi uživateli, jak moc jim toto pomohlo. | |
| Využitelnost výsledků | Výsledky jsou využitelné na kódové bázi firmy BOC Group (a nejspíš nikde jinde, protože jsou závislé na interním analyzátoru firmy). |
eVSKP id 146738