Cílem práce je vyvinout nástroj pro prezentaci výsledků bezpečnostního skeneru OpenSCAP. SCAP skenery používají standardizované vstupní a výstupní formáty, které nejsou čitelné člověkem.
Cílem nástroje je prezentovat výstup SCAP skeneru ve formě interaktivního reportu, který pomůže najít hlavní příčinu selhání bezpečnostních požadavků. Dovolí uživatelům porozumět složení příslušných bezpečnostních kontrol.
Report umožní uživatelům OpenSCAP i vývojářům bezpečnostních profilů ladit jejich kontroly. Poskytne pohled na vztahy mezi jednotlivými kontrolami a pomůže pochopit kontext těchto kontrol v rámci bezpečnostních profilů SCAP.
Klíčová slova:
SCAP, OpenSCAP, ARF, XCCDF, OVAL, bezpečnostní předpisy, audit, UI/UX
Termín obhajoby
14.06.2023
Výsledek obhajoby
obhájeno (práce byla úspěšně obhájena)
znamkaBznamka
Klasifikace
B
Průběh obhajoby
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B.
doc. Dr. Ing. Petr Hanáček (předseda)
doc. Ing. Ondřej Ryšavý, Ph.D. (člen)
Mgr. Kamil Malinka, Ph.D. (člen)
Ing. Tomáš Milet, Ph.D. (člen)
Ing. Josef Strnadel, Ph.D. (člen)
Práca sa zaoberá detekciou potencionálnych hrozieb a potencionálne zlych pravidel v systéme bezpečnosti linuxu. Využíva na to štandardy SCAP scaner. Výstupom je nástroj open-scap report, ktorý zobrazuje výsledky scanu systému linux a zobrazuje ich v ľudsky čitateľnej podobe ako napr. HTML Zdroje môžu býť aj prípadne aj XML Json je ďaľšia možnosť, ale nie úplne jasne čitateľná. Nástroj zavedený je vo Fedora a RHEL repozitároch a skúša sa aj na ďalších distribúciach.
Na základe tohto prácu hodnotím kladne a odporúčam k obhajobe.
Kritérium hodnocení
Slovní hodnocení
Informace k zadání
Zámer práce je vyvinúť nástroj na zobrazenie, vizuáližciu určenia validnosti alebo nevalidnosti určitých bezpečnostných kritéri v systéme RHEL a fedora. ktorý by zobrazoval vo formáte HTML.Prínos práce vidím v možnosti odhaliť a identifikovat bezpečnostné riziko. Bakalár využil na to už existujúce nástroje Open scap scaner. Výstup sa volá openscap-report. Práca je logicky členená s ukážkami faktov a postupov. S dosiahnutými výsledkami som pomerne spokojný, práca splňuje formálne požiadavky na bakalársku prácu a odporucam ju k obhajobe. Výsledný program sa vložil do repozitárov Fedory a RHEL. Náročnosť práce bola priemerná.
Práce s literaturou
Kedže práca bola praktická mohol som mu dať len základné smery. Nabádal som ho aby sám študoval , ale do niektorych internych materialov nevidim. V tomto si cenim spolupracu so skolitelom špecialistom.
Aktivita během řešení, konzultace, komunikace
Student bol usilovny a snažil sa rešpektovať rady. Riešenie, ktoré postavil je obhajiteľné.
Prikladám feedback od školiteľa špecialistu:
Technical Consultant Feedback on Master Thesis (OpenSCAP Report) By Evgenii Kolesnikov The goal of the work was to shape and evolve the OVAL Graph Builder prototype into a consumable product with clearly defined workflow, UX and functions, easily and conveniently consumable by the end users. It was designed to become an implement that would provide a flexible and rich UI for navigating system evaluation results, also expandable for different ways of representation. Based on the feedback from the Red Hat Security Compliance team, the author successfully designed and implemented the tool, utilizing a saturated stack of technologies (Python, XSLT, HTML, JavaScript) to achieve outstanding user experience and usability. The process of integration of that dependencies stack into the final distribution did present a lot of technical and administrative challenges, but the author creatively and thoroughly solved them, delivering a well-bodied software package. During the development process the author actively gathered the feedback from various potential users of the tool, entailing it with facilitation of a solid formalized user-testing procedure. The feedback helped to steer the shape and feature set towards a better and more useful implementation and draft a roadmap of further improvements. Along with constructive and useful suggestions it also brought the evidence that the tool is accepted with approval and excitement. The author augmented the tool with documentation and code-quality assessment mechanisms to ensure it being a top-quality consumer software. We, the Red Hat Security Compliance team, see the work as a promising and useful part of the open source family of SCAP evaluation tools.
Aktivita při dokončování
Konzultovali sme formálnu stránku. Asi párkrát za semester. Dával som mu pripomienky a rady.
Publikační činnost, ocenění
Výstupom je program openscap-report integrovaný do repozitárov RHEL a Fedory. Skúma sa aj nasadenie v ďaľších, ako napr. Ubuntu.
Tématem práce bylo vytvořit aplikaci, která umožní vytvořit html dokument z xml zprávy z bezpečnostního scanneru. Nejedná se asi o moc náročné zadání, ale oceňuji, že vzniklo jako požadavek řešení reálného problému z praxe a podle vyjádření studenta je výsledný dokument přehlednější a pochopitelnější než stávající výpisy. Hodnotím tak stupněm C.
Kritérium hodnocení
Slovní hodnocení
Body
Náročnost zadání
Stupeň hodnocení: méně obtížné zadání
Cílem práce bylo z výpisu ve formátu xml vytvořil formát html tak, aby byl co nejpochopitelnější pro uživatele. Zadání sice asi není moc obtížné, ale kladně hodnotím to, že výsledek práce by měl být použit v praxi.
Rozsah splnění požadavků zadání
Stupeň hodnocení: zadání splněno
Zadání práce bylo splněno.
Rozsah technické zprávy
Stupeň hodnocení: přesahuje obvyklé rozmezí
Technická zpráva přesahuje obvyklé rozmezí, ale do velké míry je to způsobeno tím, že práce obsahuje velké množství xml výpisů, které v práci být nemusely, nebo mohly být spíše v přílohách.
Prezentační úroveň technické zprávy
Logická struktura zprávy je dobrá. Jak už ale bylo uvedeno, stačilo dát jeden xml výpis, který by demonstroval jak výstup z bezpečnostního scanneru vypadá.
75
Formální úprava technické zprávy
Typografická stránka práce je dobrá. Práce je napsána v angličtině, tak jazykovou stránku nejsem schopen až tak posoudit, ale na první pohled vypadá dobře.
80
Práce s literaturou
Literatura je volena vhodně a převzaté části jsou dostatečně ocitovány.
75
Realizační výstup
Realizační výstup je funkční.
80
Využitelnost výsledků
Podle vyjádření studenta je možné výstup práce použít jako součást bezpečnostního scanneru.