Tato práce porovnává metody detekce zranitelností (CVE) na linuxových systémech.
Zaměřuje se na využití Open Vulnerability and Assessment Language (OVAL)
metadat a srovnání úspěšnosti detekce s metodou využívající pouze metadata
linuxových softwarových repozitářů v systému VMaaS. Cílem je určit, zda se obě dvě
metody navzájem doplňují, nebo zda jedna metoda může plně nahradit druhou.
Praktická část zpracovává OVAL metadata a představuje samostatně fungující
aplikaci vyhodnocující zranitelnosti systémů za pomoci těchto metadat. Následně
jsou porovnány výsledky s výstupem z veřejně dostupného VMaaS API.
Anotace v angličtině
This thesis compares methods of CVE vulnerability detection on Linux systems. It's
focused on usage of Open Vulnerability and Assessment Language (OVAL)
metadata and comparison with method using only Linux software repository
metadata in the VMaaS system. Goal of the thesis is to decide if both methods
complement each other or if one method superseeds the second. The practical part
processes OVAL metadata and presents a standalone application capable
of evaluating system vulnerabilities using these metadata. Results are then compared
to the output of the publicly available VMaaS API.
Klíčová slova
zranitelnost, CVE, RPM, OVAL, bezpečnost
Klíčová slova v angličtině
vulnerability, CVE, RPM, OVAL, security
Rozsah průvodní práce
83 stran
Jazyk
CZ
Anotace
Tato práce porovnává metody detekce zranitelností (CVE) na linuxových systémech.
Zaměřuje se na využití Open Vulnerability and Assessment Language (OVAL)
metadat a srovnání úspěšnosti detekce s metodou využívající pouze metadata
linuxových softwarových repozitářů v systému VMaaS. Cílem je určit, zda se obě dvě
metody navzájem doplňují, nebo zda jedna metoda může plně nahradit druhou.
Praktická část zpracovává OVAL metadata a představuje samostatně fungující
aplikaci vyhodnocující zranitelnosti systémů za pomoci těchto metadat. Následně
jsou porovnány výsledky s výstupem z veřejně dostupného VMaaS API.
Anotace v angličtině
This thesis compares methods of CVE vulnerability detection on Linux systems. It's
focused on usage of Open Vulnerability and Assessment Language (OVAL)
metadata and comparison with method using only Linux software repository
metadata in the VMaaS system. Goal of the thesis is to decide if both methods
complement each other or if one method superseeds the second. The practical part
processes OVAL metadata and presents a standalone application capable
of evaluating system vulnerabilities using these metadata. Results are then compared
to the output of the publicly available VMaaS API.
Klíčová slova
zranitelnost, CVE, RPM, OVAL, bezpečnost
Klíčová slova v angličtině
vulnerability, CVE, RPM, OVAL, security
Zásady pro vypracování
Vypracujte literární rešerši na dané téma.
Nastudujte využití Open Vulnerability and Assessment Language (OVAL®) metadat pro detekci zranitelností.
Pomocí vlastní aplikace/knihovny otestujte úspěšnost detekce zranitelností s využitím OVAL metadat.
Srovnejte úspěšnost s metodou využívající pouze metadata linuxových softwarových repozitářů.
Určete, zda se obě dvě metody navzájem doplňují, nebo zda jedna metoda může plně nahradit druhou.
Proveďte diskuzi nad výhodami a nevýhodami obou metod a možnosti integrace do systému VMaaS.
Zásady pro vypracování
Vypracujte literární rešerši na dané téma.
Nastudujte využití Open Vulnerability and Assessment Language (OVAL®) metadat pro detekci zranitelností.
Pomocí vlastní aplikace/knihovny otestujte úspěšnost detekce zranitelností s využitím OVAL metadat.
Srovnejte úspěšnost s metodou využívající pouze metadata linuxových softwarových repozitářů.
Určete, zda se obě dvě metody navzájem doplňují, nebo zda jedna metoda může plně nahradit druhou.
Proveďte diskuzi nad výhodami a nevýhodami obou metod a možnosti integrace do systému VMaaS.
Seznam doporučené literatury
Common Vulnerabilities and Exposures, The MITRE Corporation [online]. [cit. 2020-11-27]. Dostupné z: https://cve.mitre.org/index.html
Open Vulnerability and Assessment Language, The MITRE Corporation [online]. [cit. 2020-11-27]. Dostupné z: https://oval.mitre.org/index.html
Red Hat and OVAL Compatibility [online]. [cit. 2020-11-27]. Dostupné z: https://access.redhat.com/articles/221883?extIdCarryOver=true&sc_cid=701f2000001OH6kAAG
Evolving OVAL in Red Hat [online]. [cit. 2020-11-27]. Dostupné z: https://www.redhat.com/en/blog/evolving-oval
Collection of OVAL definitions from several sources [online]. [cit. 2020-11-27]. Dostupné z: https://www.itsecdb.com/oval/
Red Hat Product Security Center [online]. [cit. 2020-11-27]. Dostupné z: https://access.redhat.com/security/
Common Vulnerabilities and Exposures, The MITRE Corporation [online]. [cit. 2020-11-27]. Dostupné z: https://cve.mitre.org/index.html
Open Vulnerability and Assessment Language, The MITRE Corporation [online]. [cit. 2020-11-27]. Dostupné z: https://oval.mitre.org/index.html
Red Hat and OVAL Compatibility [online]. [cit. 2020-11-27]. Dostupné z: https://access.redhat.com/articles/221883?extIdCarryOver=true&sc_cid=701f2000001OH6kAAG
Evolving OVAL in Red Hat [online]. [cit. 2020-11-27]. Dostupné z: https://www.redhat.com/en/blog/evolving-oval
Collection of OVAL definitions from several sources [online]. [cit. 2020-11-27]. Dostupné z: https://www.itsecdb.com/oval/
Red Hat Product Security Center [online]. [cit. 2020-11-27]. Dostupné z: https://access.redhat.com/security/
Diplomant seznámil komisi s výsledky své diplomové práce. Poté byly prezentovány posudky vedoucího a oponenta diplomové práce. Poté byla vedena rozprava během které byly položeny následující dotazy:
Student zvolený přístup srovnal s detekcí zranitelností s využitím pouze metadat z linuxových repozitářů v systému VMaaS (Vulnerability Metadata as a Service).Výsledky prokázaly, že metadata OVAL jsou vhodná pro detekci zranitelností. Metadata obsahují pravidla pro detekci zranitelností, přičemž pracují s menším množstvím dat. Popsaná metoda může být s drobnými úpravami integrována do VMaaS, případně ji dokáže plně nahradit. (doc. Sysel)
Přiložený nástroj slouží k porovnání výstupu ze služby VMaaS a evaluace zranitelností pomocí OVAL. K nástroji jsou přiložena testovací data, což výrazně usnadňuje hodnocení. Výstupem z programu je přímé porovnání obou služeb na základě počtu detekovaných CVE. V jakém stavu se nachází integrace OVAL do systému VMaaS (resp. integrace přiloženého programu do VMaaS)? (Ing. Dostál)
Při definování zranitelnosti je nějak nastaven životní cyklus aplikací? Jak to bude s aplikací po odstranění zranitelnosti? (prof. Jašek)
Diplomant reagoval a všechny otázky správně zodpověděl.