本招標項目名稱為：烏海能源軟件供應鏈檢測平臺建設公開招標， 本項目已具備招標條件，現對該項目進行國內資格后審公開招標。

2.項目概況與招標范圍

    2.1 項目概況、招標范圍及標段（包）劃分：2.1.1 項目概況: 烏海能源有限責任公司擬通過本項目提出軟件供應鏈建設思路，通過建立軟件供應鏈安全管理規范制度，并配合供應鏈安全治理工具進行體系落地，有效的保障軟件供應鏈生命周期的各個環節，實現不同業務場景下的最佳實踐。

2.1.2 招標范圍及標段（包）劃分：共劃分為一個標段。主要包括4個應用系統和1項定制化服務,滿足管理者在不同場景的使用需要：

1）靜態應用安全測試（SAST）

依據 對于軟件供應鏈安全工作的要求以及烏海能源公司軟件供應鏈安全平臺靜態應用安全測試（SAST）系統建設的要求，靜態應用安全測試（SAST）系統是基于軟件安全開發生命周期管理的源代碼安全檢測系統。在不改變當前研發流程和組織架構的前提下，實現開發階段的代碼安全漏洞生命周期閉環管理，實現源代碼安全的自動化檢測，漏洞周期管理，安全質量分析，實現源代碼安全的可視化管理。

2）軟件成分分析系統(SCA）

依據 對于軟件供應鏈安全工作的要求以及烏海能源公司軟件供應鏈安全平臺軟件成分分析系統(SCA）建設的要求，軟件成分分析系統(SCA）需要在項目建設階段，通過分析技術和指紋識別技術實現快速的軟件成分安全檢測，并提供彈性私有云部署模式建立一站式服務解決方案，對項目安全進行高度可視化、可持續化管理。將風險發現能力貫穿于項目開發周期中，將軟件成分風險在業務系統上線前被提前發現并及時得到解決。

3）交互式應用安全檢測系統（IAST）

依據 對于軟件供應鏈安全工作的要求以及烏海能源公司軟件供應鏈安全平臺交互式應用安全檢測（IAST）系統建設的要求，交互式應用安全檢測（IAST）系統需要在項目測試階段，使用基于請求和基于代碼數據流兩種技術融合的IAST技術架構。該技術融合SAST和DAST的技術特點。在測試階段無縫集成，既可高準確性的檢測應用自身安全風險，也可檢測第三方組件及其漏洞，具備實時告警響應能力，是應用系統上線前漏洞檢測的主要技術平臺。

4）全方位資產監管及風險掃描（軟件）

依據 對于軟件供應鏈安全工作的要求以及烏海能源公司軟件供應鏈安全平臺全方位資產監管及風險掃描（軟件）系統建設的要求，全方位資產監管及風險掃描（軟件）系統需要從攻擊者視角出發，發現企業資產暴露面，通過漏洞風險、高危服務、外部威脅情報分析等多維度持續監控，幫助烏海能源公司高效地應對最新安全風險，實時捕捉企業風險并及時通過日報、郵件等方式告知相關人員，實現資產透明化管控、全面資產安全風險量化，建立常態化安全運營能力。

5）針對現有軟件供應鏈體系定制服務

安全功能測試、業務應用安全檢測培訓等安全測試流程規范；制定上線前安全檢查卡點及相應的安全評審要求；

制定最佳安全實踐的編碼規范，定義安全編碼要求和標準；軟件安全開發知識培訓。

針對公司已建設的38個業務系統進行漏洞掃描、代碼審計、滲透測試服務并輸出相關報告。驗收后1年內，廠商須對新增業務系統的漏洞掃描、代碼審計、滲透測試報告繼續履行廠商認證服務（含蓋章）。

2.1.3 交貨期：合同（或技術協議）簽訂后170日內。

2.1.4 交貨地點：內蒙古烏海市招標人指定地點。

    2.2 其他：/

3.投標人資格要求

    3.1 資質條件和業績要求：

    【1】資質要求：投標人須為依法注冊的獨立法人或其他組織，須提供有效的證明文件。

    【2】財務要求：/

    【3】業績要求：2019年8月至投標截止日（以合同簽訂時間為準），投標人須至少具有網絡安全軟件采購或網絡安全態勢感知平臺（或網絡安全平臺或網絡安全系統）建設或軟件供應鏈安全監測平臺建設業績1份。投標人須提供能證明本次招標業績要求的合同掃描件，合同掃描件須至少包含：合同買賣雙方蓋章頁、合同簽訂時間和業績要求中的關鍵信息頁。

    【4】信譽要求：/

    【5】項目負責人的資格要求：/

    【6】其他主要人員要求：/

    【7】設備要求：/

    【8】其他要求：/

    3.2 本項目不接受聯合體投標。

4.招標文件的獲取

    4.1  招標文件開始購買時間2024-08-27 16:00:00，招標文件購買截止時間2024-09-02 16:00:00。