FINDRA, M. Detekce zranitelností v kontejnerových obrazech [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2024.
Jedná se o velmi zdařile vypracované zadání s realizačním výstupem, který bude nasazený v praxi v rámci Red Hat OpenShift platformy. Student byl v průběhu řešení práce velmi aktivní a motivovaný, což potvrdil i technický konzultant za Red Hat, Gábor Burges, jehož vyjádření přikládám v originálním znění níže. „ Michal wrote a Golang app that gathers vulnerabilities of running apps on Openshift clusters and generates vulnerability reports and SBOMs of all the components present on the cluster. He also connected it to DefectDojo for frontend, and implemented several improvements and integrations. This has been a painpoint for the platform security team for several years, but this work has never been prioritized. Having this is a great boon, as it automates a lot of manual work and testing, implements desired vulnerability scanners and databases, and simplifies visualization and integration into existing workflows. This app will be used in all of our clusters, and passively used by all 45 teams within our organization (~500 people), but thanks to the easy portability, it’s easily adoptable by other organizations. It also alleviates a lot of churn for the security teams, and inspires trust towards the larger product security. So even more people will benefit from it than just the direct users. Michal did a great job, was very flexible in the planning, listened and asked for feedback, and promptly implemented the changes requested. The app is working great, and Michal added extra features that we planned for future iterations. The code is clean, and easily readable. The documentation is clear, and well done, I had no trouble trying it out in a test environment. The tool is already in use in our development environment, and we already proposed and received managerial approval for production implementation. It will be the standard tool for us in the future. “
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Jedná se spíše o průměrně obtížné zadání vytvořené ve spolupráci s firmou Red Hat. Obtížnost spočívala především v nutnosti nastudovat a integrovat větší množství existujících technologií používaných ve firmě Red Hat do výsledného nástroje Vulntron, případně s nástroji komunikovat přes jimi definované rozhraní. | ||
| Práce s literaturou | Student byl schopen si samostatně vyhledávat a studovat relevantní literaturu. | ||
| Aktivita během řešení, konzultace, komunikace | Student byl velmi motivovaný, aktivní a samostatný hned od počátku řešení práce. Jedná se o zadání ve spolupráci s firmou Red Hat a student tak ohledně technických záležitostí komunikoval převážně se svým technickým konzultantem. Nicméně i tak mě pravidelně informoval o dosaženém postupu a plánoval konzultace s ukázkami současného stavu řešení práce. | ||
| Aktivita při dokončování | Práce byla dokončena s dostatečnou rezervou. V průběhu posledního týdne a půl už student jen zapracovával poznámky a zpětnou vazbu. | ||
| Publikační činnost, ocenění | Nástroj není pro veřejnost dostupný ve formě open-source. |
Myslím si, že práce by se měla více orientovat na vysvětlení architektury, motivací návrhu a popisem prostředí ve kterém má být nasazena. Uchopení práce, kdy autor popisuje technické oblasti bez snahy o začlenění do ucelené práce mi nepřijde vhodné. Nicméně textovou část vyvažuje technické zpracování, které je na velmi dobré úrovni. Pozitivně hodnotím i zpracován v angličtině a připravenost řešení na nasazení v praxi (to teď vázne už jen na interních procesech).
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Jedná se o implementační DP s jasně ohraničeným rámcem. | ||
| Rozsah splnění požadavků zadání | Práce splnila všechny body zadání ve velmi dobré kvalitě. | ||
| Rozsah technické zprávy | Rozsah technické zprávy je v obvyklém rozsahu. | ||
| Prezentační úroveň technické zprávy | 75 | Práce spíše než závěrečnou práci připomíná technickou dokumentaci produktu a tomu odpovídá i nedostatečná logická úroveň práce. Kap. 2 a 3 představují obecně problematiku kontejnerizace, orchestrace kontejnerů a detekce zranitelností. Obě kapitoly vychází z několika málo zdrojů, což mimo jiné vede k přílišné obecnosti textu. Zmíněné informace v podstatě nejsou v dalších kapitolách využity. Obdobně je pak zpracováno popsání relevantních nástrojů, které je opět velmi obecné. Chybí snaha takto přeformulované obecné texty vztáhnout k vlastnímu řešení práce. Zcela chybí popis firemního prostředí, kam se měl nástroj nasazovat a alespoň základní popis požadavků na řešení. Pak je obtížné se vyjádřit, zda vlastně bylo zadání splněno. Nevyváženě také působí návrh, který je extrémně stručný a spoustu věcí nezmiňuje. Nicméně část návrhových rozhodnutí je pak alespoň popsána v implementaci. Ten je na dobré úrovni, jedná se v podstatě o regulérní dokumentaci vč. např. jednotlivých kroků pro nasazení nástroje. Část týkající se testování je stručná. | |
| Formální úprava technické zprávy | 95 | Jazyková a stylistická stránka práce i úroveň typografie je na velmi dobré úrovni. Práce obsahuje jen malé množství typografických chyb, jako je např. obrázek 2.1, který je bezdůvodně umístěn v textu až výrazně později než je odkazován, nebo stejná název kap. 3.4. a podkapitoly 3.4.1. Část textu v obrázcích je nečitelná. | |
| Práce s literaturou | 75 | Práce obsahuje spíše menší množství odkazovaných zdrojů, které jsou však relevantní tématu a vhodně vybrány. Nízký počet referencí je patrně způsoben tím, že kap. 2 a 3 jsou primárně postaveny na jednom až dvou zdrojích. Toto řešení mi nepřijde vhodné, očekával bych větší zaměření se na potřebné případy užití. | |
| Realizační výstup | 95 | Realizační výstup je na velmi dobré úrovni, vše je funkční. Návrh integrace jednotlivých komponent a způsob práce je na velmi dobré úrovni. Práce mi byla demonstrována. Vše bylo řádně otestováno, výkonnostní testy ukázaly, že řešení je vhodně dimenzováno. Jsou připraveny komponenty pro další integraci do prostředí RedHat. | |
| Využitelnost výsledků | Práce byla řešená v rámci spolupráce s RedHat a je v plánu nasazení řešení do produkce. |
eVSKP id 157039