SZYMUTKO, M. Nástroj pro správu metadat SBOM [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2025.
Diplomová práce Bc. Marka Szymutka se zabývá problematikou práce s metadaty SBOM (Software Bill of Materials), která jsou zásadní pro identifikaci složení softwaru a následné zajištění jeho bezpečnosti. V teoretické části student přehledně shrnuje význam těchto metadat, jejich legislativní rámec a vztah k metadatům VEX (Vulnerability Exploitability Exchange). Zároveň jsou popsány používané standardy, zejména SPDX a CycloneDX. Praktická část se zaměřuje na vývoj nástroje pro validaci, známkování a bezztrátový převod SBOM dokumentů, přičemž řešení je navrženo tak, aby bylo vhodné pro začlenění do automatizovaných procesů. Nástroj byl vyvinut jako open-source řešení, využívá moderní principy vývoje včetně CI/CD a jeho architektura je navržena s ohledem na snadnou rozšiřitelnost. Student pracoval samostatně a konzultace probíhaly efektivně. Jak vyplývá i z přiloženého hodnocení konzultanta z firmy Red Hat, výsledný software bude přímo využit v interních procesech společnosti, což potvrzuje vysokou kvalitu a přínos této diplomové práce nejen z akademického, ale i praktického hlediska. Cíle práce byly splněny. Práci hodnotím známkou A (98 bodů). Výsledný počet bodů navržený vedoucím: 98.
Diplomová práce se zabývá aktuálním tématem metadat SBOM s cílem vyvinout nástroj pro jejich známkování, validaci a překlad. V teoretické části je nejprve vysvětlen princip těchto metadat, včetně souvisejících standardů, komponent, legislativy a potřeb společnosti Red Hat, pro kterou byly výstupy práce realizovány. Přestože je tato část poměrně stručná, tak ji v kontextu celé práce považuji za dostatečnou. Ve zbývající a majoritní části práce je již prezentována vlastní implementace nástroje od základu aplikace, vlastního filtrovacího jazyka, ověření kvality, po překlad mezi formáty metadat SBOM. Tomu následuje popis nasazení do automatizovaného procesu CI/CD platforem využívaných společností Red Hat. Prezentována je také řada provedených testů, a to jak na úrovni zdrojového kódu, tak i běhu aplikace, na jejímž základě provedl student optimalizaci. Aplikace byla také srovnána s nástroji Syft a SBOMQS. Přestože je vyvinutý nástroj při větším počtu komponent oproti těmto řešením pomalejší, tak se rozdíly pohybují pouze v řádu jednotek vteřin, a lze je tak považovat za marginální. Z formálního hlediska je práce na vysoké úrovni a obsahuje minimum překlepů nebo typografických chyb. Výtku bych měl pouze k nejednotné formátu bibliografických citací a nepoužití doporučené normy ČSN ISO 690:2022. Citováno je celkem 76 zdrojů, které se skládají převážně z technických dokumentací použitých technologií. Cíle práce považuji za splněné. Nástroj je dostatečně zdokumentován, zveřejněn jako open source pod permisivní licencí MIT a aplikován ve společnosti Red Hat. S ohledem na uvedené skutečnosti doporučuji práci k obhajobě s hodnocením A/96.
eVSKP id 167323