HRÁČEK, O. Bezpečnostní analýza a zvýšení bezpečnosti multiplatformní aplikace [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2024.
Práce splnila všechny body zadání nicméně kvalita zpracování mohla být lepší. Uchopení bezpečnostní analýzy není úplně systematické. Na druhou stranu, i přes to došlo k odhalení a napravení několika zranitelností vč. otestování odolnosti opravy. Výsledek tedy alespoň částečně splnil účel.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Jedná se o téma, se kterým student iniciativně sám přišel. Zadání tak vzniklo na míru. Považuji je za průměrně obtížné. Cílem byla bezpečnostní analýza aplikace, kterou student implementoval a provozuje. Na základě zjištění pak měla být zjednána náprava. Studenty měl nastudovat existující standardy a best practices, týkající se penetračního testování, bezpečného kódování a bezpečnostní analýzy a použít je při práci. Všechny body zadání byly splněny. Student byl schopen najít určité množství zranitelností a opravit je. Nicméně jsem očekával systematičtější přístup k řešení. | ||
| Práce s literaturou | Student aktivně vyhledával relevantní dostupnou literaturu a vhodně ji začlenil do své práce. Systému Theses.cz uvádí podobnost 8%. Významná část však tvoří podobnosti s technickou dokumentací a popisem technologií v teoretických částech práce, kde jsou zdroje odkazovány. Některé části jsou hůře parafrázovány, nicméně cílem práce nebylo převykládat technickou dokumentaci, ale ukázat, jak s metodikou pracovat, a to bylo splněno. Přes mé výtky si tak nemyslím, že by autor překročil hranice citační etiky. | ||
| Aktivita během řešení, konzultace, komunikace | Student se mnou pravidelně komunikoval pouze během prvního půlroku, nicméně ne vždy reflektoval zadané úkoly a měl dostatečný progress. Po obhajobě semestrálního projektu se frekvence konzultací výrazně snížila. | ||
| Aktivita při dokončování | Vzhledem k nižší konzultační aktivitě se ke mě dostala až hotová práce. Tu jsem sice mohl komentovat v dostatečném předstihu, ale nebyl už prostor na nějaké zásadní vylepšení. Mé připomínky ke struktuře a obsahu textu zůstaly často nezapracovány. | ||
| Publikační činnost, ocenění | žádné |
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | |||
| Rozsah splnění požadavků zadání | V třetím bodu zadání autor nevyhodnotil hrozby pro aplikaci, nýbrž pouze zranitelnosti. Na splnění cíle práce však tato skutečnost nemá zásadní vliv. Příčinou může být nedostatečné pochopení pojmů v oblasti analýzy rizik a tedy jejich záměna. | ||
| Rozsah technické zprávy | Práce obsahuje přibližně 60 normostran textu bez bibliografie. | ||
| Prezentační úroveň technické zprávy | 85 | Technická zpráva je uspořádána v logickém pořadí a je pochopitelná pro čtenáře. Zpráva ale obsahuje příliš mnoho kapitol, z nichž některé jsou pouze polovinu stránky dlouhé. Toto dělení souvisejících témat do krátkých kapitol narušuje plynulost textu a snižuje jeho přehlednost. | |
| Formální úprava technické zprávy | 90 | Po typografické a jazykové stránce je práce na vysoké úrovni. Text je psán srozumitelně, přehledně a bez gramatických chyb. Mezi drobné nedostatky patří např. oříznutý text na str. 34, chybějící citace na str. 24,28 a inkonzistence mezer u označení citací. | |
| Práce s literaturou | 65 | Přestože se obecně literatura věnuje tématu práce, autor pracoval s velkým množstvím neodborných a neověřených zdrojů. Mezi citacemi se objevuje i odborná literatura, dokumentace nástrojů, postupů a standardy. Některé citace v práci by bylo lepší zapsat jako poznámky pod čarou. | |
| Realizační výstup | 70 | Předložená práce sice splňuje základní body zadání, nicméně v oblasti analýzy rizik se objevují nedostatky, které ovlivňují celkovou kvalitu práce. Prvním problémem je hodnocení aktiv společnosti, které je založené na nedůvěryhodném zdroji a je i dle autora silně ovlivněno subjektivním hodnocením. Dalším problémem je vyhodnocení hrozeb. Hrozby uvedené v rámci analýzy rizik nejsou specifické pro danou aplikaci, ale jedná se o obecný seznam převzatý z online zdroje. Tyto obecné hrozby dále autor hodnotí pomocí CVSS (Common Vulnerability Scoring System). CVSS je určen pro hodnocení zranitelností, nikoliv hrozeb. Místo hrozeb specifických pro testovanou aplikaci práce uvádí a dále zpracovává zranitelnosti. Zaniká tak vazba mezi vypracovávanými bezpečnostními opatřeními a aktivy společnosti. Strategie zmírnění rizik, která by měla navrhovat konkrétní opatření k eliminaci nebo snížení identifikovaných rizik, postrádá detailní specifikaci. Provedené penetrační testování bylo zaměřeno pouze na obecné zranitelnosti z OWASP TOP 10, převzaté ze zastaralé příručky, aniž by zohledňovalo specifické prvky a technologie dané aplikace. V této práci nicméně byly odhaleny zranitelnosti nasazené a používané aplikace. Tyto zranitelnosti byly systematicky odstraněny a znovu otestovány. | |
| Využitelnost výsledků | Výsledky práce jsou využité v praxi. Aplikace, na které byla práce vykonávána, je v nasazení. |
eVSKP id 156711