本招標(biāo)項(xiàng)目名稱為:烏海能源軟件供應(yīng)鏈檢測平臺(tái)建設(shè)公開招標(biāo), 本項(xiàng)目已具備招標(biāo)條件,現(xiàn)對該項(xiàng)目進(jìn)行國內(nèi)資格后審公開招標(biāo)。
2.項(xiàng)目概況與招標(biāo)范圍
2.1 項(xiàng)目概況、招標(biāo)范圍及標(biāo)段(包)劃分:2.1.1 項(xiàng)目概況: 烏海能源有限責(zé)任公司擬通過本項(xiàng)目提出軟件供應(yīng)鏈建設(shè)思路,通過建立軟件供應(yīng)鏈安全管理規(guī)范制度,并配合供應(yīng)鏈安全治理工具進(jìn)行體系落地,有效的保障軟件供應(yīng)鏈生命周期的各個(gè)環(huán)節(jié),實(shí)現(xiàn)不同業(yè)務(wù)場景下的最佳實(shí)踐。
2.1.2 招標(biāo)范圍及標(biāo)段(包)劃分:共劃分為一個(gè)標(biāo)段。主要包括4個(gè)應(yīng)用系統(tǒng)和1項(xiàng)定制化服務(wù),滿足管理者在不同場景的使用需要:
1)靜態(tài)應(yīng)用安全測試(SAST)
依據(jù) 對于軟件供應(yīng)鏈安全工作的要求以及烏海能源公司軟件供應(yīng)鏈安全平臺(tái)靜態(tài)應(yīng)用安全測試(SAST)系統(tǒng)建設(shè)的要求,靜態(tài)應(yīng)用安全測試(SAST)系統(tǒng)是基于軟件安全開發(fā)生命周期管理的源代碼安全檢測系統(tǒng)。在不改變當(dāng)前研發(fā)流程和組織架構(gòu)的前提下,實(shí)現(xiàn)開發(fā)階段的代碼安全漏洞生命周期閉環(huán)管理,實(shí)現(xiàn)源代碼安全的自動(dòng)化檢測,漏洞周期管理,安全質(zhì)量分析,實(shí)現(xiàn)源代碼安全的可視化管理。
2)軟件成分分析系統(tǒng)(SCA)
依據(jù) 對于軟件供應(yīng)鏈安全工作的要求以及烏海能源公司軟件供應(yīng)鏈安全平臺(tái)軟件成分分析系統(tǒng)(SCA)建設(shè)的要求,軟件成分分析系統(tǒng)(SCA)需要在項(xiàng)目建設(shè)階段,通過分析技術(shù)和指紋識別技術(shù)實(shí)現(xiàn)快速的軟件成分安全檢測,并提供彈性私有云部署模式建立一站式服務(wù)解決方案,對項(xiàng)目安全進(jìn)行高度可視化、可持續(xù)化管理。將風(fēng)險(xiǎn)發(fā)現(xiàn)能力貫穿于項(xiàng)目開發(fā)周期中,將軟件成分風(fēng)險(xiǎn)在業(yè)務(wù)系統(tǒng)上線前被提前發(fā)現(xiàn)并及時(shí)得到解決。
3)交互式應(yīng)用安全檢測系統(tǒng)(IAST)
依據(jù) 對于軟件供應(yīng)鏈安全工作的要求以及烏海能源公司軟件供應(yīng)鏈安全平臺(tái)交互式應(yīng)用安全檢測(IAST)系統(tǒng)建設(shè)的要求,交互式應(yīng)用安全檢測(IAST)系統(tǒng)需要在項(xiàng)目測試階段,使用基于請求和基于代碼數(shù)據(jù)流兩種技術(shù)融合的IAST技術(shù)架構(gòu)。該技術(shù)融合SAST和DAST的技術(shù)特點(diǎn)。在測試階段無縫集成,既可高準(zhǔn)確性的檢測應(yīng)用自身安全風(fēng)險(xiǎn),也可檢測第三方組件及其漏洞,具備實(shí)時(shí)告警響應(yīng)能力,是應(yīng)用系統(tǒng)上線前漏洞檢測的主要技術(shù)平臺(tái)。
4)全方位資產(chǎn)監(jiān)管及風(fēng)險(xiǎn)掃描(軟件)
依據(jù) 對于軟件供應(yīng)鏈安全工作的要求以及烏海能源公司軟件供應(yīng)鏈安全平臺(tái)全方位資產(chǎn)監(jiān)管及風(fēng)險(xiǎn)掃描(軟件)系統(tǒng)建設(shè)的要求,全方位資產(chǎn)監(jiān)管及風(fēng)險(xiǎn)掃描(軟件)系統(tǒng)需要從攻擊者視角出發(fā),發(fā)現(xiàn)企業(yè)資產(chǎn)暴露面,通過漏洞風(fēng)險(xiǎn)、高危服務(wù)、外部威脅情報(bào)分析等多維度持續(xù)監(jiān)控,幫助烏海能源公司高效地應(yīng)對最新安全風(fēng)險(xiǎn),實(shí)時(shí)捕捉企業(yè)風(fēng)險(xiǎn)并及時(shí)通過日報(bào)、郵件等方式告知相關(guān)人員,實(shí)現(xiàn)資產(chǎn)透明化管控、全面資產(chǎn)安全風(fēng)險(xiǎn)量化,建立常態(tài)化安全運(yùn)營能力。
5)針對現(xiàn)有軟件供應(yīng)鏈體系定制服務(wù)
安全功能測試、業(yè)務(wù)應(yīng)用安全檢測培訓(xùn)等安全測試流程規(guī)范;制定上線前安全檢查卡點(diǎn)及相應(yīng)的安全評審要求;
制定最佳安全實(shí)踐的編碼規(guī)范,定義安全編碼要求和標(biāo)準(zhǔn);軟件安全開發(fā)知識培訓(xùn)。
針對公司已建設(shè)的38個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行漏洞掃描、代碼審計(jì)、滲透測試服務(wù)并輸出相關(guān)報(bào)告。驗(yàn)收后1年內(nèi),廠商須對新增業(yè)務(wù)系統(tǒng)的漏洞掃描、代碼審計(jì)、滲透測試報(bào)告繼續(xù)履行廠商認(rèn)證服務(wù)(含蓋章)。
2.1.3 交貨期:合同(或技術(shù)協(xié)議)簽訂后170日內(nèi)。
2.1.4 交貨地點(diǎn):內(nèi)蒙古烏海市招標(biāo)人指定地點(diǎn)。
2.2 其他:/
3.投標(biāo)人資格要求
3.1 資質(zhì)條件和業(yè)績要求:
【1】資質(zhì)要求:投標(biāo)人須為依法注冊的獨(dú)立法人或其他組織,須提供有效的證明文件。
【2】財(cái)務(wù)要求:/
【3】業(yè)績要求:2019年8月至投標(biāo)截止日(以合同簽訂時(shí)間為準(zhǔn)),投標(biāo)人須至少具有網(wǎng)絡(luò)安全軟件采購或網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)(或網(wǎng)絡(luò)安全平臺(tái)或網(wǎng)絡(luò)安全系統(tǒng))建設(shè)或軟件供應(yīng)鏈安全監(jiān)測平臺(tái)建設(shè)業(yè)績1份。投標(biāo)人須提供能證明本次招標(biāo)業(yè)績要求的合同掃描件,合同掃描件須至少包含:合同買賣雙方蓋章頁、合同簽訂時(shí)間和業(yè)績要求中的關(guān)鍵信息頁。
【4】信譽(yù)要求:/
【5】項(xiàng)目負(fù)責(zé)人的資格要求:/
【6】其他主要人員要求:/
【7】設(shè)備要求:/
【8】其他要求:/
3.2 本項(xiàng)目不接受聯(lián)合體投標(biāo)。
4.招標(biāo)文件的獲取
4.1 招標(biāo)文件開始購買時(shí)間2024-08-27 16:00:00,招標(biāo)文件購買截止時(shí)間2024-09-02 16:00:00。
