TUČEK, A. Nástroj pro vyhledávání a agregaci známých zranitelností [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2025.
Diplomová práce se věnuje vyhledávání známých zranitelností, jejich agregaci, kategorizaci a hodnocení ve formě jednotného automatizovaného nástroje. V teoretické části student poměrně stručně popisuje standardy CVE, CWE, CVSS a CPE. Tomu následuje analýza databází známých zranitelností, slabin a exploitů, na základě které student určil zdroje dat pro praktickou implementaci. V praktické části je představena architektura samotného nástroje, jeho jednotlivé komponenty a použité technologie. Tomu následuje již popis vlastní implementace dílčích modulů. Tato část je prokládána ukázkou zdrojových kódu, jejichž popis je však poměrně strohý a přiložené kódy tak spíš působí jako výplň obsahu. Vyvinutý nástroj využívá celkem 4 otevřené zdroje dat k vyhledávání informací o zranitelnostech, po jejichž agregaci data normalizuje, analyzuje a výstupy předkládá jak ve strojově zpracovatelném formátu JSON, tak pro člověka čitelném PDF a HTML dokumentu. Nástroj byl dále publikován veřejně na GitLab pod permisivní licencí Apache 2.0. Kladně hodnotím také zapojení studenta do soutěže STUDENT EEICT, kde se s výsledky své práce umístil na 2. místě. Po formální stránce obsahuje textová část práce místy překlepy a nejednotné nebo neúplné vysvětlení použitých zkratek. Citováno je celkem 29 zdrojů složených převážně z použitých standardů a technologií. Veškeré stanovené cíle diplomové práce považuji za splněné. Vyvinutý nástroj je funkční a rozšiřitelný, přičemž je v plánu jeho aplikace do projektu bezpečnostního výzkumu MVČR a také interního procesu hodnocení bezpečnosti společnosti Škoda Auto, která dosažené výsledky z pozice konzultující organizace hodnotí kladně. Na základě dosažených výsledků a jejich budoucímu využití doporučuji práci k obhajobě s hodnocením A/90.
Diplomová práce se zaměřuje na návrh a vývoj nástroje pro automatické vyhledávání, agregaci a prezentaci známých zranitelností v podobě protokolu. Práce je rozdělena na dvě části. V první části je teoretický úvod, který popisuje standardy a metody hodnocení zranitelností. Nicméně některé parametry a hodnoty v teoretickém popisu zůstaly bez překladu a bližšího vysvětlení či příkladů, jako např. hodnoty vektoru útoku u CVSS. Ve druhé praktické části je již popsán vlastní návrh nástroje, jeho realizace v Pythonu a testování. V práci je tak prezentována i řada výpisů kódu u jednotlivých funkcí. Popis řešení je dostatečně informativní a z obrázku 3.1 lze vyčíst základní princip nástroje. Odborná úroveň práce je dobrá a výsledný výstup je využitelný. Nástroj je navíc veřejně uvolněn na Gitlabu. Práce s literaturou je na dobré úrovni. Celkově je využito 29 zdrojů. Většinu tvoří reference na online materiály a dokumentace. Odborné publikace jsou však zastoupeny velmi omezeně. Větším nedostatkem práce je formální úprava. Práce obsahuje řadu překlepů např. „vznuku“, „relevatntní“, „zahrunty“, „cyklen“, „chrarakterizující“ atd. Dále se vyskytuje nekonzistentnost u zkratek, např., Api vs API, json vs JSON. V práci jsou občasné nedostatky v interpunkci a objevuje se i zdvojené odkazování na obr. 3.15, viz strana 40. Vzhledem k uvedeným nedostatkům doporučuji práci k obhajobě s celkovým hodnocením 80 bodů / B.
eVSKP id 167327