報(bào)名截止時(shí)間:****年*月**日**:**
公告說明:貴州銀行安全檢查軟件貨物采購項(xiàng)目(****年應(yīng)用安全工具建設(shè)項(xiàng)目)供應(yīng)商征集
征集需求描述:
一、項(xiàng)目名稱
貴州銀行安全檢查軟件貨物采購項(xiàng)目(****年應(yīng)用安全工具建設(shè)項(xiàng)目)
二�、項(xiàng)目背景
為強(qiáng)化科技開發(fā)安全保障能力����,我行正積極推進(jìn)應(yīng)用安全體系建設(shè)���。目前存在軟件成份分析(***)工具缺失,現(xiàn)有靜態(tài)安全測試(****)工具功能存在明顯缺陷且運(yùn)維保障不足等問題?���,F(xiàn)有工具在供應(yīng)鏈安全管控及軟件研發(fā)質(zhì)量保障方面已無法滿足實(shí)際需求,為此擬采購軟件成份分析(***)和靜態(tài)安全測試(****)兩類專業(yè)安全工具���,以完善應(yīng)用安全檢測體系,有效應(yīng)對軟件供應(yīng)鏈風(fēng)險(xiǎn)并提升研發(fā)質(zhì)量管控水平�����。
三、項(xiàng)目需求
擬通過采購國產(chǎn)應(yīng)用安全工具�����,補(bǔ)充軟件成份分析能力����,替換境外靜態(tài)安全測試產(chǎn)品,具體內(nèi)容包括:
(一)產(chǎn)品功能要求
*.軟件成份分析應(yīng)具備以下主要功能:
(*)涵蓋國內(nèi)外主流漏洞數(shù)據(jù)庫��,如***����、*****等;
(*)多源分析支持���,支持本地源碼����、遠(yuǎn)程代碼庫����、制品包�����、容器鏡像多種檢測輸入源�;
(*)依賴解析與可視化�,解析軟件的直接、間接依賴�,以列表或樹形結(jié)構(gòu)直觀展示組件關(guān)系,輔助定位漏洞引入路徑��;
(*)許可證合規(guī)檢測�,自動識別依賴組件的許可證類型及條款內(nèi)容;
(*)漏洞檢測�����,基于漏洞數(shù)據(jù)庫(支持增量/全量更新)匹配組件版本�����,輸出漏洞編號�、危害等級、影響范圍等關(guān)鍵信息�����;
(*)生成標(biāo)準(zhǔn)化的軟件物料清單文件�,生成符合行業(yè)規(guī)范的軟件物料清單,記錄組件版本���、許可證����、漏洞等全量數(shù)據(jù)�;
(*)漏洞修復(fù)建議,針對高危漏洞提供修復(fù)方案����,包含版本升級路徑、兼容性驗(yàn)證說明及潛在風(fēng)險(xiǎn)提示��;
(*)雙向關(guān)聯(lián)檢索����,支持依賴組件與漏洞的快速雙向查詢,定位漏洞影響范圍(所影響的組件�、系統(tǒng))或追溯組件關(guān)聯(lián)風(fēng)險(xiǎn)。
*.靜態(tài)安全測試應(yīng)具備以下主要功能:
(*)預(yù)置規(guī)則庫覆蓋主流場景�,內(nèi)置主流開發(fā)語言(如****/******/**********)的掃描規(guī)則庫�����,涵蓋代碼安全漏洞����、邏輯缺陷��、性能缺陷�、編碼規(guī)范違規(guī)等場景;
(*)多維度的代碼質(zhì)量指標(biāo)�,支持從代碼重復(fù)率、圈復(fù)雜度���、問題數(shù)量等維度生成質(zhì)量評分���;
(*)缺陷精準(zhǔn)定位與修復(fù),展示問題代碼片段上下文�,關(guān)聯(lián)具體規(guī)則說明并提供修復(fù)示例代碼,降低修復(fù)成本�����;
(*)自定義規(guī)則擴(kuò)展��,支持用戶自定義規(guī)則開發(fā),提供規(guī)則模板�、示例代碼及技術(shù)文檔,適配定制化代碼規(guī)范需求��;
(*)代碼質(zhì)量管控���,支持按項(xiàng)目獨(dú)立配置掃描規(guī)則組合、質(zhì)量閾值(如重復(fù)率容忍值�����、復(fù)雜度上限)及質(zhì)量門禁策略(如阻斷高危代碼缺陷等)�,通過配置文件或可視化界面實(shí)現(xiàn)策略的跨工程復(fù)用。
(二)技術(shù)要求
本次采購的應(yīng)用安全工具應(yīng)滿足下列共性的技術(shù)要求:
*.國產(chǎn)化適配�,供應(yīng)商產(chǎn)品應(yīng)符合我行關(guān)于數(shù)據(jù)庫、中間件和操作系統(tǒng)等方面的相關(guān)適配改造要求���;
*.國密改造�,應(yīng)符合我行國密改造要求�;
*.自主知識產(chǎn)權(quán),供應(yīng)商應(yīng)確保產(chǎn)品核心技術(shù)具備獨(dú)立知識產(chǎn)權(quán)����,不得使用開源軟件進(jìn)行二次封裝(中標(biāo)后需進(jìn)行核驗(yàn))�;
*.審計(jì)與日志管理���,完整記錄掃描任務(wù)���、用戶操作及系統(tǒng)管理日志,滿足安全審計(jì)與問題溯源要求���;
*.標(biāo)準(zhǔn)化接口與擴(kuò)展��,提供符合行業(yè)規(guī)范的應(yīng)用接口��,可與第三方系統(tǒng)集成�����;
*.安全與可靠性保障�����,基于角色的訪問控制(****)實(shí)現(xiàn)權(quán)限隔離���,通過數(shù)據(jù)備份、故障快速恢復(fù)等機(jī)制保障系統(tǒng)可用性���。
四��、潛在供應(yīng)商資格要求
(一)具有相應(yīng)的民事行為能力����;
(二)具有獨(dú)立承擔(dān)民事義務(wù)的能力;
(三)具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會計(jì)制度���;
(四)具有信息技術(shù)服務(wù)管理體系認(rèn)證(********)資質(zhì)��;
(五)具有信息安全管理體系認(rèn)證(********)資質(zhì);
(六)具有軟件能力成熟度模型認(rèn)證(***/****)*級或以上資質(zhì)�����;
(七)具有下列資質(zhì)之一:
*.中國網(wǎng)絡(luò)安全審查認(rèn)證和市場監(jiān)管大數(shù)據(jù)中心(****)認(rèn)證的信息安全服務(wù)——軟件安全開發(fā)服務(wù)*級或以上資質(zhì)�����;
*.中國信息安全測評中心(*******)認(rèn)證的服務(wù)——安全開發(fā)*級或以上資質(zhì)��;
(八)有依法繳納稅收和社會保障資金的良好記錄�;
(九)信用情況良好,在最近三年經(jīng)營活動中���,沒有重大違法記錄����,無行政處罰,未被列為失信被執(zhí)行人����;
(十)最近三年內(nèi)與我行無法律訴訟或違約糾紛;
(十一)未被我行列入不良類黑名單(限制期限已屆滿的除外)��;
(十二)法律�、行政法規(guī)規(guī)定的其他條件。
五�����、潛在供應(yīng)商需提交的材料
(一)提供公司三證合一后的營業(yè)執(zhí)照���;
(二)提供經(jīng)合法審計(jì)機(jī)構(gòu)出具的****年或****年的財(cái)務(wù)審計(jì)報(bào)告(含資產(chǎn)負(fù)債表和利潤表)���,成立不足一年的企業(yè)可出具基本開戶銀行出具的****年*月以后的有效資信證明(復(fù)印件加蓋投標(biāo)單位公章);
(三)提供****年*月以后任意*個(gè)月依法繳納稅收的憑證和****年*月以后任意*個(gè)月社會保障資金的有效證明材料���;
(四)提供參加本次采購活動前三年內(nèi)����,在經(jīng)營活動中沒有重大違法記錄,提供“信用中國”網(wǎng)站截圖��,須提供查詢記錄截圖并加蓋公章���;
(五)無行政處罰����、未被列為失信被執(zhí)行人�����、最近三年內(nèi)與我行無法律訴訟或違約糾紛����、未被我行列入不良類黑名單(限制期限已屆滿的除外)��,提供供應(yīng)商承諾聲明��,格式自擬�����;
(六)提供信息技術(shù)服務(wù)管理體系認(rèn)證(********)、信息安全管理體系認(rèn)證(********)�����、軟件能力成熟度模型認(rèn)證(***/****)*級或以上資質(zhì)����;
(七)中國網(wǎng)絡(luò)安全審查認(rèn)證和市場監(jiān)管大數(shù)據(jù)中心(****)認(rèn)證的信息安全服務(wù)(軟件安全開發(fā)服務(wù)*級或以上級別)或中國信息安全測評中心(*******)認(rèn)證的服務(wù)(安全開發(fā)*級或以上級別)資質(zhì)的佐證材料(須保證內(nèi)容清晰、完整)�����;
(八)提供公司聯(lián)系人�、電話、電子郵箱����、地址等。
注:上述資料均需提供加蓋公章的掃描件,并形成一個(gè)***或****格式文件����。(形成多個(gè)文件的不符合要求)
六、注意事項(xiàng)
(一)本公告僅為征集供應(yīng)商之用��,非采購要約邀請,我行將在報(bào)名結(jié)束后*個(gè)工作日內(nèi)�����,統(tǒng)一對供應(yīng)商資格進(jìn)行審查�����,符合要求的供應(yīng)商可參加該項(xiàng)目后續(xù)采購活動��;
(二)報(bào)名單位需自行承擔(dān)報(bào)名準(zhǔn)備資料所發(fā)生的費(fèi)用�;
(三)報(bào)名單位提交的所有資料僅供我行對其資格或資質(zhì)審核之用,恕不退還��;
(四)提供的所有證照須在有效期內(nèi)���。
七�����、提交方式及聯(lián)系方式
(一)提交方式:
報(bào)名截止時(shí)間:****年*月**日**:**
報(bào)名方式:供應(yīng)商請于上述規(guī)定時(shí)間內(nèi)登陸貴州銀行集采平臺(***.********.***:****)進(jìn)行注冊,注冊過程中�,請選擇注冊成為供應(yīng)商,并且申請類型選擇“登錄后查看”(注冊步驟詳見登錄后查看)�。審核通過后,在線上傳報(bào)名材料(報(bào)名步驟:登錄系統(tǒng)—投標(biāo)管理—征集公告查看—報(bào)名)。如已注冊��,可直接報(bào)名��,報(bào)名后請自行查看審核信息�。(注:供應(yīng)商須對報(bào)名信息和資料的真實(shí)性負(fù)責(zé),如提供虛假資料���,并由此承擔(dān)法律風(fēng)險(xiǎn)和賠償責(zé)任���。)
(二)聯(lián)系方式
聯(lián)系人:范先生
電 話:****-********
郵 箱:**********登錄后查看********.***
平臺技術(shù)支持電話:****-********
發(fā)布網(wǎng)站:中國金融集中采購網(wǎng)、貴州銀行官方網(wǎng)站����、貴州銀行集中采購管理平臺、貴州省招標(biāo)投標(biāo)公共服務(wù)平臺�����。
登錄后查看
****年*月**日
