Bachelor's Thesis

OpenSCAP Report: A Tool for Visualizing Security Compliance Inspection Results

Final Thesis 3.58 MB

Author of thesis: Bc. Jan Rodák

Acad. year: 2022/2023

Supervisor: Mgr. Jozef Drga

Reviewer: Ing. Jaroslav Rozman, Ph.D.

Abstract:

The goal of the thesis is to develop a utility to present the results of OpenSCAP security scans. SCAP scans use standardized input and output formats, and those formats are not consumable by humans.
The utility aims to present the SCAP scan output in the form of an interactive report that helps find the root cause of failed security requirements and enables users to understand the composition of the respective security checks.
The report will allow users of OpenSCAP and developers of security profiles to debug their checks. It will provide insights into relations between individual checks and help understand the context of these checks within SCAP security profiles.

Keywords:

SCAP, OpenSCAP, ARF, XCCDF, OVAL, security compliance, audit, UI/UX

Date of defence

14.06.2023

Result of the defence

Defended (thesis was successfully defended)

znamkaBznamka

Grading

B

Process of defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B.

Topics for thesis defence

  1. Máte kvantifikovanou zpětnou vazbu od uživatelů?
  2. Jak vypadají vstupní data?

Language of thesis

English

Faculty

Fakulta informačních technologií

Department

Department of Intelligent Systems

Study programme

Information Technology (BIT)

Composition of Committee

doc. Dr. Ing. Petr Hanáček (předseda)
doc. Ing. Ondřej Ryšavý, Ph.D. (člen)
doc. Mgr. Kamil Malinka, Ph.D. (člen)
Ing. Tomáš Milet, Ph.D. (člen)
Ing. Josef Strnadel, Ph.D. (člen)

Supervisor’s report
Mgr. Jozef Drga

Práca sa zaoberá detekciou potencionálnych hrozieb a potencionálne  zlych pravidel v systéme bezpečnosti linuxu. Využíva na to štandardy SCAP scaner. Výstupom je nástroj open-scap report, ktorý zobrazuje výsledky scanu systému linux a zobrazuje ich v ľudsky čitateľnej podobe ako napr.  HTML Zdroje môžu býť aj prípadne aj XML Json je ďaľšia možnosť, ale nie úplne jasne čitateľná. Nástroj zavedený je vo Fedora a RHEL repozitároch a skúša sa aj na ďalších distribúciach.


 


 


Na základe tohto prácu hodnotím kladne a odporúčam k obhajobe.

Evaluation criteria Verbal classification
Informace k zadání

Zámer práce je vyvinúť nástroj na zobrazenie, vizuáližciu  určenia validnosti  alebo nevalidnosti určitých bezpečnostných kritéri v systéme RHEL a fedora. ktorý by zobrazoval vo formáte HTML.Prínos práce vidím v možnosti odhaliť a identifikovat bezpečnostné riziko. Bakalár využil na to už existujúce nástroje Open scap scaner. Výstup sa volá openscap-report. Práca je logicky členená s ukážkami faktov a postupov. S dosiahnutými výsledkami som pomerne spokojný, práca splňuje formálne požiadavky na bakalársku prácu a odporucam ju k obhajobe. Výsledný program  sa vložil do repozitárov Fedory a  RHEL. Náročnosť práce bola priemerná. 

 

 

 

 
Práce s literaturou

Kedže práca bola praktická mohol som mu dať len základné smery. Nabádal som ho aby sám študoval , ale do niektorych internych materialov nevidim. V tomto si cenim spolupracu so skolitelom špecialistom.
Aktivita během řešení, konzultace, komunikace

Student bol usilovny a snažil sa rešpektovať rady. Riešenie, ktoré postavil je obhajiteľné.

 

Prikladám feedback od školiteľa špecialistu:

Technical Consultant Feedback on
Master Thesis (OpenSCAP Report)
By Evgenii Kolesnikov
The goal of the work was to shape and evolve the OVAL Graph Builder prototype into a
consumable product with clearly defined workflow, UX and functions, easily and conveniently
consumable by the end users. It was designed to become an implement that would provide a
flexible and rich UI for navigating system evaluation results, also expandable for different ways
of representation.
Based on the feedback from the Red Hat Security Compliance team, the author successfully
designed and implemented the tool, utilizing a saturated stack of technologies (Python, XSLT,
HTML, JavaScript) to achieve outstanding user experience and usability. The process of
integration of that dependencies stack into the final distribution did present a lot of technical and
administrative challenges, but the author creatively and thoroughly solved them, delivering a
well-bodied software package.
During the development process the author actively gathered the feedback from various
potential users of the tool, entailing it with facilitation of a solid formalized user-testing
procedure. The feedback helped to steer the shape and feature set towards a better and more
useful implementation and draft a roadmap of further improvements. Along with constructive
and useful suggestions it also brought the evidence that the tool is accepted with approval and
excitement.
The author augmented the tool with documentation and code-quality assessment mechanisms
to ensure it being a top-quality consumer software.
We, the Red Hat Security Compliance team, see the work as a promising and useful part of the
open source family of SCAP evaluation tools.
Aktivita při dokončování

Konzultovali sme formálnu stránku. Asi párkrát  za semester. Dával som mu pripomienky a rady.
Publikační činnost, ocenění

Výstupom je program openscap-report integrovaný do repozitárov RHEL a Fedory. Skúma sa aj nasadenie v ďaľších, ako napr. Ubuntu.
Points proposed by supervisor: 86

Grade proposed by supervisor: B

Reviewer’s report
Ing. Jaroslav Rozman, Ph.D.

Tématem práce bylo vytvořit aplikaci, která umožní vytvořit html dokument z xml zprávy z bezpečnostního scanneru. Nejedná se asi o moc náročné zadání, ale oceňuji, že vzniklo jako požadavek řešení reálného problému z praxe a podle vyjádření studenta je výsledný dokument přehlednější a pochopitelnější než stávající výpisy. Hodnotím tak stupněm C.

Evaluation criteria Verbal classification Points
Náročnost zadání

Evaluation level: méně obtížné zadání

Cílem práce bylo z výpisu ve formátu xml vytvořil formát html tak, aby byl co nejpochopitelnější pro uživatele. Zadání sice asi není moc obtížné, ale kladně hodnotím to, že výsledek práce by měl být použit v praxi.
Rozsah splnění požadavků zadání

Evaluation level: zadání splněno

Zadání práce bylo splněno.
Rozsah technické zprávy

Evaluation level: přesahuje obvyklé rozmezí

Technická zpráva přesahuje obvyklé rozmezí, ale do velké míry je to způsobeno tím, že práce obsahuje velké množství xml výpisů, které v práci být nemusely, nebo mohly být spíše v přílohách.
Prezentační úroveň technické zprávy

Logická struktura zprávy je dobrá. Jak už ale bylo uvedeno, stačilo dát jeden xml výpis, který by demonstroval jak výstup z bezpečnostního scanneru vypadá.

 75
Formální úprava technické zprávy

Typografická stránka práce je dobrá. Práce je napsána v angličtině, tak jazykovou stránku nejsem schopen až tak posoudit, ale na první pohled vypadá dobře.

 80
Práce s literaturou

Literatura je volena vhodně a převzaté části jsou dostatečně ocitovány.

 75
Realizační výstup

Realizační výstup je funkční.

 80
Využitelnost výsledků

Podle vyjádření studenta je možné výstup práce použít jako součást bezpečnostního scanneru.
Points proposed by reviewer: 75

Grade proposed by reviewer: C

Responsibility: Mgr. et Mgr. Hana Odstrčilová