RODÁK, J. OpenSCAP Report: nástroj pro vizualizaci výsledků kontroly dodržování bezpečnostních předpisů [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Práca sa zaoberá detekciou potencionálnych hrozieb a potencionálne zlych pravidel v systéme bezpečnosti linuxu. Využíva na to štandardy SCAP scaner. Výstupom je nástroj open-scap report, ktorý zobrazuje výsledky scanu systému linux a zobrazuje ich v ľudsky čitateľnej podobe ako napr. HTML Zdroje môžu býť aj prípadne aj XML Json je ďaľšia možnosť, ale nie úplne jasne čitateľná. Nástroj zavedený je vo Fedora a RHEL repozitároch a skúša sa aj na ďalších distribúciach. Na základe tohto prácu hodnotím kladne a odporúčam k obhajobe.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Zámer práce je vyvinúť nástroj na zobrazenie, vizuáližciu určenia validnosti alebo nevalidnosti určitých bezpečnostných kritéri v systéme RHEL a fedora. ktorý by zobrazoval vo formáte HTML.Prínos práce vidím v možnosti odhaliť a identifikovat bezpečnostné riziko. Bakalár využil na to už existujúce nástroje Open scap scaner. Výstup sa volá openscap-report. Práca je logicky členená s ukážkami faktov a postupov. S dosiahnutými výsledkami som pomerne spokojný, práca splňuje formálne požiadavky na bakalársku prácu a odporucam ju k obhajobe. Výsledný program sa vložil do repozitárov Fedory a RHEL. Náročnosť práce bola priemerná. | ||
| Práce s literaturou | Kedže práca bola praktická mohol som mu dať len základné smery. Nabádal som ho aby sám študoval , ale do niektorych internych materialov nevidim. V tomto si cenim spolupracu so skolitelom špecialistom. | ||
| Aktivita během řešení, konzultace, komunikace | Student bol usilovny a snažil sa rešpektovať rady. Riešenie, ktoré postavil je obhajiteľné. Prikladám feedback od školiteľa špecialistu: Technical Consultant Feedback on Master Thesis (OpenSCAP Report) By Evgenii Kolesnikov The goal of the work was to shape and evolve the OVAL Graph Builder prototype into a consumable product with clearly defined workflow, UX and functions, easily and conveniently consumable by the end users. It was designed to become an implement that would provide a flexible and rich UI for navigating system evaluation results, also expandable for different ways of representation. Based on the feedback from the Red Hat Security Compliance team, the author successfully designed and implemented the tool, utilizing a saturated stack of technologies (Python, XSLT, HTML, JavaScript) to achieve outstanding user experience and usability. The process of integration of that dependencies stack into the final distribution did present a lot of technical and administrative challenges, but the author creatively and thoroughly solved them, delivering a well-bodied software package. During the development process the author actively gathered the feedback from various potential users of the tool, entailing it with facilitation of a solid formalized user-testing procedure. The feedback helped to steer the shape and feature set towards a better and more useful implementation and draft a roadmap of further improvements. Along with constructive and useful suggestions it also brought the evidence that the tool is accepted with approval and excitement. The author augmented the tool with documentation and code-quality assessment mechanisms to ensure it being a top-quality consumer software. We, the Red Hat Security Compliance team, see the work as a promising and useful part of the open source family of SCAP evaluation tools. | ||
| Aktivita při dokončování | Konzultovali sme formálnu stránku. Asi párkrát za semester. Dával som mu pripomienky a rady. | ||
| Publikační činnost, ocenění | Výstupom je program openscap-report integrovaný do repozitárov RHEL a Fedory. Skúma sa aj nasadenie v ďaľších, ako napr. Ubuntu. |
Tématem práce bylo vytvořit aplikaci, která umožní vytvořit html dokument z xml zprávy z bezpečnostního scanneru. Nejedná se asi o moc náročné zadání, ale oceňuji, že vzniklo jako požadavek řešení reálného problému z praxe a podle vyjádření studenta je výsledný dokument přehlednější a pochopitelnější než stávající výpisy. Hodnotím tak stupněm C.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Cílem práce bylo z výpisu ve formátu xml vytvořil formát html tak, aby byl co nejpochopitelnější pro uživatele. Zadání sice asi není moc obtížné, ale kladně hodnotím to, že výsledek práce by měl být použit v praxi. | ||
| Rozsah splnění požadavků zadání | Zadání práce bylo splněno. | ||
| Rozsah technické zprávy | Technická zpráva přesahuje obvyklé rozmezí, ale do velké míry je to způsobeno tím, že práce obsahuje velké množství xml výpisů, které v práci být nemusely, nebo mohly být spíše v přílohách. | ||
| Prezentační úroveň technické zprávy | 75 | Logická struktura zprávy je dobrá. Jak už ale bylo uvedeno, stačilo dát jeden xml výpis, který by demonstroval jak výstup z bezpečnostního scanneru vypadá. | |
| Formální úprava technické zprávy | 80 | Typografická stránka práce je dobrá. Práce je napsána v angličtině, tak jazykovou stránku nejsem schopen až tak posoudit, ale na první pohled vypadá dobře. | |
| Práce s literaturou | 75 | Literatura je volena vhodně a převzaté části jsou dostatečně ocitovány. | |
| Realizační výstup | 80 | Realizační výstup je funkční. | |
| Využitelnost výsledků | Podle vyjádření studenta je možné výstup práce použít jako součást bezpečnostního scanneru. |
eVSKP id 148184