REMEŇ, M. Monitorovací a reportovací nástroj pro klonované zranitelnosti napříč open-source projekty [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Študent si úspešne naštudoval danú problematiku a získané znalosti aplikoval pri návrhu a implementácii nástroja, ktorý umožňuje detekciu klonovaných zraniteľností v zdrojovom kóde. Navrhnuté riešenie je založené na aktuálnej odbornej literatúre. Na rozdiel od existujúcich riešení implementovaný nástroj ponúka i grafické rozhranie podporujúce jeho využiteľnosť. Nástroj bol otestovaný na sade zraniteľností z praxe a detekčné výsledky experimentálne vyhodnotené. V prípade vyššej aktivity študenta pri vypracovaní by bolo možné niektoré z navrhnutých vylepšení zapracovať už v rámci tejto bakalárskej práce. Vzhľadom k náročnejšiemu charakteru zadania navrhujem hodnotenie B.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Zadanie malo mierne náročnejší charakter. Študent sa musel zoznámiť s problematikou detekcie zraniteľného kódu a reprezentáciou zraniteľností vo forme verejných databáz. Na základe získaných znalostí z odbornej literatúry navrhol a implementoval nástroj, ktorý umožňuje detekciu zraniteľností propagovaných na základe zdieľania kódu. Študent experimentálne vyhodnotil prínosy jeho riešenia a navrhol možné vylepšenia. Všetky body zadania boli úspešne splnené. Pozitívne hodnotím vypracovanie práce v anglickom jazyku. | ||
| Práce s literaturou | Študent využíval zdroje navrhnuté vedúcim, tak i aktívne a samostatne vyhľadával relevantnú literatúru. Rozsah a zloženie využitej literatúry považujem za dostatočný. | ||
| Aktivita během řešení, konzultace, komunikace | Študent riešil vypracovanie počas celého školského roka. Postup bol konzultovaný podľa dohodnutého plánu. Navrhnuté riešenie bolo diskutované s odborným konzultantom práce. | ||
| Aktivita při dokončování | Technická dokumentácia a realizačný výstup boli dokončené s menším predstihom a študent zapracoval väčšinu pripomienok. | ||
| Publikační činnost, ocenění |
Celkovo hodnotím prácu veľmi dobre. Textová časť je dobre napísaná a nevidel som závažnejšie chyby. Realizačný výstup je výborne spracovaný.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Zadaním sa jedná o mierne obtiažnejšiu prácu. Pozostávalo to z dvoch častí a to: naštudovaní si typov zraniteľností v projektoch otvoreného softwaru. naštudovať si spôsoby detekcie zraniteľností v týchto projektoch. Z týchto domén mal študent vyextrahovať myšlienky a naimplementovať semi-automatizovaný nástroj, ktorý by vedel detekovať propagované bezp. chyby v zadaných projektoch. | ||
| Rozsah splnění požadavků zadání | Zadanie bolo splnené v celom rozsahu zadania. Aktuálny stav predstavuje prototyp, ktorý by po miernych úpravach mohol byť nasadený na hladanie bezp. chýb v repozitároch. | ||
| Rozsah technické zprávy | Rozsah technickej správy je 43 strán v hustej LaTeXovej šablóne a 54 strán aj formálnymi náležitosťami. Podľa vnútorne vyvinutej aplikácie pre fakultu na počítanie normostrán https://app.fit.vut.cz/normostrany práca je v rozsahu 68.45. Tento počet je rozdelený v pomere 2% obrázkov a 98% textu. Podľa týchto čísel je BP v obvyklom rozsahu. Portál thesis ohodnotil 5% podobnosť s inými prácami. Podobnosť je hlavne vďaka šablóne a v ukážkových kódoch (tzv. figures). | ||
| Prezentační úroveň technické zprávy | 85 | Práca je logicky štrukturovaná a jej kapitoly odrážajú body zadania. V práci sa občasne vyskytujú typografické chyby. | |
| Formální úprava technické zprávy | 85 | V práci som si nevšimol závažnejšie typografické alebo gramatické chyby. | |
| Práce s literaturou | 80 | V práci je použitých 37, čo hodnotím ako dostatočné množsvto. Niektoré citácie maju nekompletný alebo zlý formát (napr. žiadny alebo viac bibliografických metadát jednoznačne identifikujúcich prameň), a to napr. [2], [4], [8], [16], [30]. | |
| Realizační výstup | 90 | Realizačný výstup je prototypová implementácia nástroja v jazyku Python, webové rozhranie na komunikáciu s nástrojom písané pomocou ReactJS, databázy Redis a PostgreSQL. Rádovo sa jedná o desiatky súborov s desiatkami/stovkami autorských riadkov. Program používá kontajnerizáciu pre jednoduché sputenie, čo hodnotím kladne. Za pochvalu stojí riadne komentovaný zdrojový kód a rozumné členenie. | |
| Využitelnost výsledků | Využiteľnosť výsledného prototypu je v aktuálnej podobe náročnejšie použitie a dĺžky trvania analýzy repozitárov. Ak by však študent tieto nedostatky opravil tak už nič nebráni možnému produkčnému nasadeniu. |
eVSKP id 145021