1.招標(biāo)條件
本招標(biāo)項(xiàng)目名稱(chēng)為:烏海能源軟件供應(yīng)鏈檢測(cè)平臺(tái)建設(shè)公開(kāi)招標(biāo), 本項(xiàng)目已具備招標(biāo)條件,現(xiàn)對(duì)該項(xiàng)目進(jìn)行國(guó)內(nèi)資格后審公開(kāi)招標(biāo)。
2.項(xiàng)目概況與招標(biāo)范圍
2.1 項(xiàng)目概況、招標(biāo)范圍及標(biāo)段(包)劃分:2.1.1 項(xiàng)目概況: 烏海能源有限責(zé)任公司擬通過(guò)本項(xiàng)目提出軟件供應(yīng)鏈建設(shè)思路,通過(guò)建立軟件供應(yīng)鏈安全管理規(guī)范制度,并配合供應(yīng)鏈安全治理工具進(jìn)行體系落地,有效的保障軟件供應(yīng)鏈生命周期的各個(gè)環(huán)節(jié),實(shí)現(xiàn)不同業(yè)務(wù)場(chǎng)景下的最佳實(shí)踐。
2.1.2 招標(biāo)范圍及標(biāo)段(包)劃分:共劃分為一個(gè)標(biāo)段。主要包括4個(gè)應(yīng)用系統(tǒng)和1項(xiàng)定制化服務(wù),滿足管理者在不同場(chǎng)景的使用需要:
1)靜態(tài)應(yīng)用安全測(cè)試(SAST)
依據(jù) 對(duì)于軟件供應(yīng)鏈安全工作的要求以及烏海能源公司軟件供應(yīng)鏈安全平臺(tái)靜態(tài)應(yīng)用安全測(cè)試(SAST)系統(tǒng)建設(shè)的要求,靜態(tài)應(yīng)用安全測(cè)試(SAST)系統(tǒng)是基于軟件安全開(kāi)發(fā)生命周期管理的源代碼安全檢測(cè)系統(tǒng)。在不改變當(dāng)前研發(fā)流程和組織架構(gòu)的前提下,實(shí)現(xiàn)開(kāi)發(fā)階段的代碼安全漏洞生命周期閉環(huán)管理,實(shí)現(xiàn)源代碼安全的自動(dòng)化檢測(cè),漏洞周期管理,安全質(zhì)量分析,實(shí)現(xiàn)源代碼安全的可視化管理。
2)軟件成分分析系統(tǒng)(SCA)
依據(jù) 對(duì)于軟件供應(yīng)鏈安全工作的要求以及烏海能源公司軟件供應(yīng)鏈安全平臺(tái)軟件成分分析系統(tǒng)(SCA)建設(shè)的要求,軟件成分分析系統(tǒng)(SCA)需要在項(xiàng)目建設(shè)階段,通過(guò)分析技術(shù)和指紋識(shí)別技術(shù)實(shí)現(xiàn)快速的軟件成分安全檢測(cè),并提供彈性私有云部署模式建立一站式服務(wù)解決方案,對(duì)項(xiàng)目安全進(jìn)行高度可視化、可持續(xù)化管理。將風(fēng)險(xiǎn)發(fā)現(xiàn)能力貫穿于項(xiàng)目開(kāi)發(fā)周期中,將軟件成分風(fēng)險(xiǎn)在業(yè)務(wù)系統(tǒng)上線前被提前發(fā)現(xiàn)并及時(shí)得到解決。
3)交互式應(yīng)用安全檢測(cè)系統(tǒng)(IAST)
依據(jù) 對(duì)于軟件供應(yīng)鏈安全工作的要求以及烏海能源公司軟件供應(yīng)鏈安全平臺(tái)交互式應(yīng)用安全檢測(cè)(IAST)系統(tǒng)建設(shè)的要求,交互式應(yīng)用安全檢測(cè)(IAST)系統(tǒng)需要在項(xiàng)目測(cè)試階段,使用基于請(qǐng)求和基于代碼數(shù)據(jù)流兩種技術(shù)融合的IAST技術(shù)架構(gòu)。該技術(shù)融合SAST和DAST的技術(shù)特點(diǎn)。在測(cè)試階段無(wú)縫集成,既可高準(zhǔn)確性的檢測(cè)應(yīng)用自身安全風(fēng)險(xiǎn),也可檢測(cè)第三方組件及其漏洞,具備實(shí)時(shí)告警響應(yīng)能力,是應(yīng)用系統(tǒng)上線前漏洞檢測(cè)的主要技術(shù)平臺(tái)。
4)全方位資產(chǎn)監(jiān)管及風(fēng)險(xiǎn)掃描(軟件)
依據(jù) 對(duì)于軟件供應(yīng)鏈安全工作的要求以及烏海能源公司軟件供應(yīng)鏈安全平臺(tái)全方位資產(chǎn)監(jiān)管及風(fēng)險(xiǎn)掃描(軟件)系統(tǒng)建設(shè)的要求,全方位資產(chǎn)監(jiān)管及風(fēng)險(xiǎn)掃描(軟件)系統(tǒng)需要從攻擊者視角出發(fā),發(fā)現(xiàn)企業(yè)資產(chǎn)暴露面,通過(guò)漏洞風(fēng)險(xiǎn)、高危服務(wù)、外部威脅情報(bào)分析等多維度持續(xù)監(jiān)控,幫助烏海能源公司高效地應(yīng)對(duì)最新安全風(fēng)險(xiǎn),實(shí)時(shí)捕捉企業(yè)風(fēng)險(xiǎn)并及時(shí)通過(guò)日?qǐng)?bào)、郵件等方式告知相關(guān)人員,實(shí)現(xiàn)資產(chǎn)透明化管控、全面資產(chǎn)安全風(fēng)險(xiǎn)量化,建立常態(tài)化安全運(yùn)營(yíng)能力。
5)針對(duì)現(xiàn)有軟件供應(yīng)鏈體系定制服務(wù)
安全功能測(cè)試、業(yè)務(wù)應(yīng)用安全檢測(cè)培訓(xùn)等安全測(cè)試流程規(guī)范;制定上線前安全檢查卡點(diǎn)及相應(yīng)的安全評(píng)審要求;
制定最佳安全實(shí)踐的編碼規(guī)范,定義安全編碼要求和標(biāo)準(zhǔn);軟件安全開(kāi)發(fā)知識(shí)培訓(xùn)。
針對(duì)公司已建設(shè)的38個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行漏洞掃描、代碼審計(jì)、滲透測(cè)試服務(wù)并輸出相關(guān)報(bào)告。驗(yàn)收后1年內(nèi),廠商須對(duì)新增業(yè)務(wù)系統(tǒng)的漏洞掃描、代碼審計(jì)、滲透測(cè)試報(bào)告繼續(xù)履行廠商認(rèn)證服務(wù)(含蓋章)。
2.1.3 交貨期:合同(或技術(shù)協(xié)議)簽訂后170日內(nèi)。
2.1.4 交貨地點(diǎn):內(nèi)蒙古烏海市招標(biāo)人指定地點(diǎn)。
2.2 其他:/
3.投標(biāo)人資格要求
3.1 資質(zhì)條件和業(yè)績(jī)要求:
【1】資質(zhì)要求:投標(biāo)人須為依法注冊(cè)的獨(dú)立法人或其他組織,須提供有效的證明文件。
【2】財(cái)務(wù)要求:/
【3】業(yè)績(jī)要求:2019年8月至投標(biāo)截止日(以合同簽訂時(shí)間為準(zhǔn)),投標(biāo)人須至少具有網(wǎng)絡(luò)安全軟件采購(gòu)或網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)(或網(wǎng)絡(luò)安全平臺(tái)或網(wǎng)絡(luò)安全系統(tǒng))建設(shè)或軟件供應(yīng)鏈安全監(jiān)測(cè)平臺(tái)建設(shè)業(yè)績(jī)1份。投標(biāo)人須提供能證明本次招標(biāo)業(yè)績(jī)要求的合同掃描件,合同掃描件須至少包含:合同買(mǎi)賣(mài)雙方蓋章頁(yè)、合同簽訂時(shí)間和業(yè)績(jī)要求中的關(guān)鍵信息頁(yè)。
【4】信譽(yù)要求:/
【5】項(xiàng)目負(fù)責(zé)人的資格要求:/
【6】其他主要人員要求:/
【7】設(shè)備要求:/
【8】其他要求:/
3.2 本項(xiàng)目不接受聯(lián)合體投標(biāo)。
4.招標(biāo)文件的獲取
4.1 招標(biāo)文件開(kāi)始購(gòu)買(mǎi)時(shí)間2024-08-27 16:00:00,招標(biāo)文件購(gòu)買(mǎi)截止時(shí)間2024-09-02 16:00:00。