項目概況
開源安全與合規(guī)治理平臺(基礎版)����、鏡像安全與合規(guī)治理平臺、源代碼靜態(tài)分析系統(tǒng)等設備購置招標項目的潛在供應商應在線上獲取招標文件,并于****年**月**日 **時**分(北京時間)前遞交投標文件�����。
一����、項目基本情況
項目編號:JH**-******-****8
項目名稱:開源安全與合規(guī)治理平臺(基礎版)����、鏡像安全與合規(guī)治理平臺�����、源代碼靜態(tài)分析系統(tǒng)等設備購置
包組編號:**1
預算金額(元):******0
最高限價(元):******0
1.軟件部分-開源安全與合規(guī)治理平臺(軟件成分分析(SCA)工具)(數(shù)量1):支持自定義評分��,可根據(jù)檢測項目/版本/任務等調(diào)整評級策略�����,進行相關自定義修改����,可按照各類型組件扣分等規(guī)則進行設定;能夠識別主流開發(fā)語言如Java����、JavaScript、Go/Golang�����、Python��、PHP�����、C/C++��、.Net��、Ruby��、Perl�����、R等主流語言的開源組件識別,支持常用的依賴包管理器����,包括但不限于Npm、Yarn����、Pypi、Gem��、Ruby Gems、Cargo����、HEX、Cpanm��、Cljr�����、leiningen����、cran等,支持分析出文件所使用的開源組件的詳細信息�����,包括組件名稱��、版本��、組件危害等級��、版本發(fā)布日期����、許可協(xié)議�����、漏洞分布等。
2.軟件部分-鏡像安全與合規(guī)治理平臺(容器鏡像安全檢測工具)(數(shù)量1):軟件形態(tài)��,支持save����,export等多種鏡像導出格式的檢測;支持自定義漏洞��,支持根據(jù)用戶需求新增未公開漏洞信息��,及時避免相關風險;支持管控策略�����,支持自定義黑白名單進行相關風險管控;支持檢測文件中存在的供應鏈惡意攻擊(供應鏈投毒)��,判斷制品包是否已被攻擊者所控制�����,同時定位風險所在項目并預警等。
3.軟件部分-源代碼靜態(tài)分析系統(tǒng)(靜態(tài)應用程序安全測試(SAST)工具)(數(shù)量1):覆蓋的語言種類包括JAVA�����、JSP�����、 C��、C++��、Javascript��、Typescript����、SQL、PHP ��、Python����、Objective-C、Cobol����、Swift�����、Kotlin����、Go�����、Lua����、Fortran �����、Shell��、Dart�����、Scala、Ruby�����、ArkTS等����;掃描不需要依賴具體的編譯器和開發(fā)環(huán)境,無需用戶預編譯����,用戶可直接提交源代碼進行檢測;.可檢測代碼文件�����、配置文件等中的敏感信息����,如商業(yè)憑證、身份信息����、加密密鑰、非對稱私鑰����、API密鑰�����、銀行卡號和訪問Token等����。支持用戶自定義敏感信息規(guī)則等����。
4.軟件部分-動態(tài)測試自動化工具(動態(tài)應用程序安全測試(DAST)工具)(數(shù)量1):支持漏洞詳情展示�����,包括但不限于漏洞位置��、危害等級����、漏洞描述、漏洞風險�����、修復建議、請求信息��、合規(guī)信息����、安全/不安全代碼示例,以及自定義修改漏洞等級�����、危害等級��、描述����、建議等;支持主動掃描和被動掃描兩種安全檢測方式�����,滿足不同場景下的檢測需求����,支持注入類、失效身份驗證和會話管理類、使用硬編碼憑證��、使用弱加密算法及弱隨機數(shù)�����、服務器請求偽造(SSRF)�����、跨站請求偽造(CSRF)�����、任意文件上傳�����、讀取和目錄遍歷�����、不安全的反序列化����、跨站腳本攻擊(XSS)、敏感信息泄露��、XML外部實體注入攻擊(XXE)等Web應用漏洞檢測����、敏感數(shù)據(jù)未加密存儲、敏感數(shù)據(jù)未加密返回前端等�����。
5.軟件部分-二進制軟件成分分析平臺(基于二進制軟件基因的供應鏈安全檢測工具)(數(shù)量1):支持下列操作系統(tǒng)及架構(gòu)二進制包檢測����,包括但不限于:Linux x**、Linux x**-**����、Linux arm**、Linux aarch**�����、Linux mips**����、Linux mips**、Linux mipsel**、Linux mipsel**����、Windows x**、Windows x**-**����、Darwin arm**/aarch**、Darwin x**-**等��;支持啟發(fā)式二進制解包����,通過文件頭魔數(shù)(Magic Number)來識別文件格式而不是依據(jù)文件后綴識別,最大程度解包出二進制格式中的可執(zhí)行文件等����。
6.軟件部分-威脅情報平臺(數(shù)量1):提供情報類型包括軟件漏洞、第三方組件漏洞����、組件投毒威脅�����、軟件斷供威脅、假冒偽劣威脅��、供應商威脅等����;基于開源情報、商用情報����、交換情報、私有情報����、APT組織數(shù)據(jù)、安全產(chǎn)品數(shù)據(jù)�����、漏洞數(shù)據(jù)��、第三方平臺數(shù)據(jù)等多源的威脅情報基礎數(shù)據(jù)能力����,結(jié)合資產(chǎn)數(shù)據(jù)支撐,及時響應因外部安全環(huán)境變化而引入的一些安全風險����,通過情報請閱等方式向供應鏈相關方分享供應鏈威脅情報�����。分中心威脅情報平臺與總中心威脅情報平臺通過數(shù)據(jù)交互接口進行威脅情報上傳��、同步等����。
7. 軟件部分-分中心供應鏈安全服務管理平臺(數(shù)量1):基于分中心供應鏈安全服務管理平臺�����,對分中心開展的相關供應鏈安全服務進行管理��,具備供應鏈體系合規(guī)審查服務管理��、供應商安全能力評估服務管理��、威脅情報服務管理����、人員安全培訓服務管理、各類數(shù)據(jù)展示以及與總中心的數(shù)據(jù)交互功能等基礎能力����;資產(chǎn)清單:以被檢測軟件作為資產(chǎn),對軟件資產(chǎn)進行自動化管理��,識別供應鏈檢測項目的組件�����、代碼����、容器等相關資產(chǎn),并對相關按照軟件供應鏈檢測中心項目維度對資產(chǎn)進行分類與管理等��。
8.服務器(數(shù)量1):含7單臺服務器配置:主流品牌����,CPU≥**核,內(nèi)存≥**G�����,硬盤≥**TB��;操作系統(tǒng)等����。
9.安全設備(數(shù)量1):硬件設備��,1*管理口�����,2*USB�����,1*Console口�����,業(yè)務口:≥4個千兆電口(含兩對內(nèi)置BYPASS)�����,≥4千兆光口�����,硬盤:≥2TB��,設備性能:HTTP吞吐量≥3Gbps����,HTTPS吞吐量≥**0Mbps,HTTP最大并發(fā)連接數(shù)≥**萬�����,HTTP最大新建連接數(shù)≥****��,HTTPS最大并發(fā)連接數(shù)≥2萬�����,HTTPS最大新建連接數(shù)≥****��,每秒事務處理數(shù)≥****����;支持終端可視化大屏展示�����,包括終端安全管控大屏和安全概況大屏��,安全概況展示內(nèi)容包括風險總數(shù)��、今日新增、防護概況�����、檢測概況�����、入侵檢測概況����、防護風險趨勢、安全動態(tài)等信息�����,支持在首頁展示當前終所有終端待處理的高危風險信息��,包括弱口令�����、待處理病毒�����、待處理漏洞等數(shù)據(jù)等。
**.大屏(數(shù)量1):提供**0寸電視2臺����,帶電視支架,帶掛墻掛架,可移動�����,提供可視化展示��,屏幕刷新率≥**0Hz��,分辨率4K�����;提供展示控制裝置4套����,與展示電視兼容適配��,可對檢測測試全流程進行展示等����。
**.儀器設備安裝與裝修(數(shù)量1):負責協(xié)調(diào)軟件工具供應商完成聯(lián)調(diào)測試與驗證服務工作����,保證本項目中所有工具的功能要求達到系統(tǒng)建設的目標�����,滿足業(yè)務需求��,保證網(wǎng)絡的穩(wěn)定性����,并最終對網(wǎng)絡、安全��、系統(tǒng)����、功能實現(xiàn)結(jié)果負責;負責所有軟件工具的安裝督導����、調(diào)測、配置�����,應配合原廠對軟件進行安裝督導、軟件調(diào)測����、軟件配置,負責對軟件提供商提出設備初始化配要求����。協(xié)調(diào)各廠商完成工程實施,確保達到本項目對相關設備的規(guī)范和功能等�����。
合同履行期限:合同生效后**個工作日內(nèi)貨到安裝調(diào)試完畢并驗收合格��。
需落實的政府采購政策內(nèi)容:享受中小微型企業(yè)扶持����、支持監(jiān)獄企業(yè)發(fā)展�����、促進殘疾人就業(yè)����、脫貧攻堅支持企業(yè)等相關政策�����。
本項目(是/否)接受聯(lián)合體投標:否
二��、供應商的資格要求
1.滿足《中華人民共和國政府采購法》第二十二條規(guī)定����。
2.落實政府采購政策需滿足的資格要求:非專門面向中小企業(yè)采購�����。
3.本項目的特定資格要求:無�����。
三��、政府采購供應商入庫須知
參加遼寧省政府采購活動的供應商未進入遼寧省政府采購供應商庫的����,請詳閱遼寧政府采購網(wǎng) “首頁—政策法規(guī)”中公布的“政府采購供應商入庫”的相關規(guī)定,及時辦理入庫登記手續(xù)����。填寫單位名稱�����、統(tǒng)一社會信用代碼和聯(lián)系人等簡要信息�����,由系統(tǒng)自動開通賬號后����,即可參與政府采購活動����。具體規(guī)定詳見《關于進一步優(yōu)化遼寧省政府采購供應商入庫程序的通知》(遼財采函〔****〕**8號)。
四�����、獲取招標文件
時間:****年**月**日**時**分至****年**月**日**時**分(北京時間�����,法定節(jié)假日除外)
地點:線上獲取
方式:線上
售價:免費
五��、提交投標文件截止時間����、開標時間和地點
****年**月**日 **時**分(北京時間)
地點:電子文件遞交遼寧政府采購網(wǎng)、備份文件遞交到遼寧工程招標有限公司南樓開標樓(沈陽市和平區(qū)南九馬路**號)
六�����、公告期限
自本公告發(fā)布之日起5個工作日��。
七�����、質(zhì)疑與投訴
供應商認為自己的權益受到損害的�����,可以在知道或者應知其權益受到損害之日起七個工作日內(nèi)�����,向采購代理機構(gòu)或采購人提出質(zhì)疑��。
1�����、接收質(zhì)疑函方式:線上或書面紙質(zhì)質(zhì)疑函
2、質(zhì)疑函內(nèi)容�����、格式:應符合《政府采購質(zhì)疑和投訴辦法》相關規(guī)定和財政部制定的《政府采購質(zhì)疑函范本》格式����,詳見遼寧政府采購網(wǎng)。
質(zhì)疑供應商對采購人��、采購代理機構(gòu)的答復不滿意�����,或者采購人�����、采購代理機構(gòu)未在規(guī)定時間內(nèi)作出答復的�����,可以在答復期滿后**個工作日內(nèi)向本級財政部門提起投訴����。
八、其他補充事宜
投標文件遞交方式采用線上遞交及現(xiàn)場備份文件遞交同時執(zhí)行��,參與本項目的投標供應商須自行辦理好CA數(shù)字證書����,如因供應商自身原因?qū)е挛淳€上遞交投標文件的按照無效投標文件處理。具體操作流程詳見遼寧政府采購相關通知��。
九��、對本次招標提出詢問����,請按以下方式聯(lián)系
1.采購人信息
名稱: 遼寧省檢驗檢測認證中心
地址: 沈陽市皇姑區(qū)崇山西路7號
聯(lián)系方式:**4-********
2.采購代理機構(gòu)信息:
名稱:遼寧工程招標有限公司
地址:沈陽市和平區(qū)南九馬路**號
聯(lián)系方式:**4-********
郵箱地址:lnzb**9@**3.com
開戶行:中國農(nóng)業(yè)銀行沈陽砂山支行
賬戶名稱:遼寧工程招標有限公司
賬號:詳見招標文件
3.項目聯(lián)系方式
項目聯(lián)系人:胡鐵軍
電話:**4-********
