開源安全與合規(guī)治理平臺(基礎(chǔ)版)、鏡像安全與合規(guī)治理平臺、源代碼靜態(tài)分析系統(tǒng)等設(shè)備購置招標(biāo)公告

一、項(xiàng)目基本情況 項(xiàng)目編號：Jp******** 項(xiàng)目名稱：開源安全與合規(guī)治理平臺（基礎(chǔ)版）、鏡像安全與合規(guī)治理平臺、源代碼靜態(tài)分析系統(tǒng)等設(shè)備購置 包組編號：001 預(yù)算金額（元）：******** 最高限價(jià)（元）：******** 采購需求：查看 1.軟件部分-開源安全與合規(guī)治理平臺（軟件成分分析（SCA）工具）（數(shù)量1）：支持自定義評分，可根據(jù)檢測項(xiàng)目/版本/任務(wù)等調(diào)整評級策略，進(jìn)行相關(guān)自定義修改，可按照各類型組件扣分等規(guī)則進(jìn)行設(shè)定；能夠識別主流開發(fā)語言如Java、JavaScript、Go/Golang、Python、PHP、C/C++、.Net、Ruby、Perl、R等主流語言的開源組件識別,支持常用的依賴包管理器，包括但不限于Npm、Yarn、Pypi、Gem、Ruby Gems、Cargo、HEX、Cpanm、Cljr、leiningen、cran等，支持分析出文件所使用的開源組件的詳細(xì)信息，包括組件名稱、版本、組件危害等級、版本發(fā)布日期、許可協(xié)議、漏洞分布等。2.軟件部分-鏡像安全與合規(guī)治理平臺（容器鏡像安全檢測工具）（數(shù)量1）：軟件形態(tài)，支持save，export等多種鏡像導(dǎo)出格式的檢測；支持自定義漏洞，支持根據(jù)用戶需求新增未公開漏洞信息，及時(shí)避免相關(guān)風(fēng)險(xiǎn);支持管控策略，支持自定義黑白名單進(jìn)行相關(guān)風(fēng)險(xiǎn)管控;支持檢測文件中存在的供應(yīng)鏈惡意攻擊（供應(yīng)鏈投毒），判斷制品包是否已被攻擊者所控制，同時(shí)定位風(fēng)險(xiǎn)所在項(xiàng)目并預(yù)警等。3.軟件部分-源代碼靜態(tài)分析系統(tǒng)（靜態(tài)應(yīng)用程序安全測試（SAST）工具）（數(shù)量1）：覆蓋的語言種類包括JAVA、JSP、 C、C++、Javascript、Typescript、SQL、PHP 、Python、Objective-C、Cobol、Swift、Kotlin、Go、Lua、Fortran 、Shell、Dart、Scala、Ruby、ArkTS等；掃描不需要依賴具體的編譯器和開發(fā)環(huán)境，無需用戶預(yù)編譯，用戶可直接提交源代碼進(jìn)行檢測；.可檢測代碼文件、配置文件等中的敏感信息，如商業(yè)憑證、身份信息、加密密鑰、非對稱私鑰、API密鑰、銀行卡號和訪問Token等。支持用戶自定義敏感信息規(guī)則等。4.軟件部分-動態(tài)測試自動化工具（動態(tài)應(yīng)用程序安全測試（DAST）工具）（數(shù)量1）：支持漏洞詳情展示，包括但不限于漏洞位置、危害等級、漏洞描述、漏洞風(fēng)險(xiǎn)、修復(fù)建議、請求信息、合規(guī)信息、安全/不安全代碼示例，以及自定義修改漏洞等級、危害等級、描述、建議等；支持主動掃描和被動掃描兩種安全檢測方式，滿足不同場景下的檢測需求，支持注入類、失效身份驗(yàn)證和會話管理類、使用硬編碼憑證、使用弱加密算法及弱隨機(jī)數(shù)、服務(wù)器請求偽造（SSRF）、跨站請求偽造（CSRF）、任意文件上傳、讀取和目錄遍歷、不安全的反序列化、跨站腳本攻擊（XSS）、敏感信息泄露、XML外部實(shí)體注入攻擊（XXE）等Web應(yīng)用漏洞檢測、敏感數(shù)據(jù)未加密存儲、敏感數(shù)據(jù)未加密返回前端等。5.軟件部分-二進(jìn)制軟件成分分析平臺（基于二進(jìn)制軟件基因的供應(yīng)鏈安全檢測工具）（數(shù)量1）：支持下列操作系統(tǒng)及架構(gòu)二進(jìn)制包檢測，包括但不限于：Linux x86、Linux x86-64、Linux arm32、Linux aarcp4、Linux mips32、Linux mips64、Linux mipsel32、Linux mipsel64、Windows x86、Windows x86-64、Darwin arm64/aarcp4、Darwin x86-64等；支持啟發(fā)式二進(jìn)制解包，通過文件頭魔數(shù)(Magic Number)來識別文件格式而不是依據(jù)文件后綴識別，最大程度解包出二進(jìn)制格式中的可執(zhí)行文件等。6.軟件部分-威脅情報(bào)平臺（數(shù)量1）：提供情報(bào)類型包括軟件漏洞、第三方組件漏洞、組件投毒威脅、軟件斷供威脅、假冒偽劣威脅、供應(yīng)商威脅等；基于開源情報(bào)、商用情報(bào)、交換情報(bào)、私有情報(bào)、APT組織數(shù)據(jù)、安全產(chǎn)品數(shù)據(jù)、漏洞數(shù)據(jù)、第三方平臺數(shù)據(jù)等多源的威脅情報(bào)基礎(chǔ)數(shù)據(jù)能力，結(jié)合資產(chǎn)數(shù)據(jù)支撐，及時(shí)響應(yīng)因外部安全環(huán)境變化而引入的一些安全風(fēng)險(xiǎn)，通過情報(bào)請閱等方式向供應(yīng)鏈相關(guān)方分享供應(yīng)鏈威脅情報(bào)。分中心威脅情報(bào)平臺與總中心威脅情報(bào)平臺通過數(shù)據(jù)交互接口進(jìn)行威脅情報(bào)上傳、同步等。7. 軟件部分-分中心供應(yīng)鏈安全服務(wù)管理平臺（數(shù)量1）：基于分中心供應(yīng)鏈安全服務(wù)管理平臺，對分中心開展的相關(guān)供應(yīng)鏈安全服務(wù)進(jìn)行管理，具備供應(yīng)鏈體系合規(guī)審查服務(wù)管理、供應(yīng)商安全能力評估服務(wù)管理、威脅情報(bào)服務(wù)管理、人員安全培訓(xùn)服務(wù)管理、各類數(shù)據(jù)展示以及與總中心的數(shù)據(jù)交互功能等基礎(chǔ)能力；資產(chǎn)清單：以被檢測軟件作為資產(chǎn)，對軟件資產(chǎn)進(jìn)行自動化管理，識別供應(yīng)鏈檢測項(xiàng)目的組件、代碼、容器等相關(guān)資產(chǎn)，并對相關(guān)按照軟件供應(yīng)鏈檢測中心項(xiàng)目維度對資產(chǎn)進(jìn)行分類與管理等。8.服務(wù)器（數(shù)量1）：含7單臺服務(wù)器配置：主流品牌，CPU≥16核，內(nèi)存≥32G，硬盤≥16TB；操作系統(tǒng)等。9.安全設(shè)備（數(shù)量1）：硬件設(shè)備，1*管理口，2*USB，1*Console口，業(yè)務(wù)口：≥4個(gè)千兆電口（含兩對內(nèi)置BYPASS），≥4千兆光口，硬盤：≥2TB，設(shè)備性能：HTTP吞吐量≥3Gbps，HTTPS吞吐量≥500Mbps，HTTP最大并發(fā)連接數(shù)≥60萬，HTTP最大新建連接數(shù)≥5000，HTTPS最大并發(fā)連接數(shù)≥2萬，HTTPS最大新建連接數(shù)≥1000，每秒事務(wù)處理數(shù)≥8000；支持終端可視化大屏展示，包括終端安全管控大屏和安全概況大屏，安全概況展示內(nèi)容包括風(fēng)險(xiǎn)總數(shù)、今日新增、防護(hù)概況、檢測概況、入侵檢測概況、防護(hù)風(fēng)險(xiǎn)趨勢、安全動態(tài)等信息，支持在首頁展示當(dāng)前終所有終端待處理的高危風(fēng)險(xiǎn)信息，包括弱口令、待處理病毒、待處理漏洞等數(shù)據(jù)等。10.大屏（數(shù)量1）：提供100寸電視2臺，帶電視支架,帶掛墻掛架，可移動，提供可視化展示，屏幕刷新率≥120Hz，分辨率4K；提供展示控制裝置4套，與展示電視兼容適配，可對檢測測試全流程進(jìn)行展示等。11.儀器設(shè)備安裝與裝修（數(shù)量1）：負(fù)責(zé)協(xié)調(diào)軟件工具供應(yīng)商完成聯(lián)調(diào)測試與驗(yàn)證服務(wù)工作，保證本項(xiàng)目中所有工具的功能要求達(dá)到系統(tǒng)建設(shè)的目標(biāo)，滿足業(yè)務(wù)****網(wǎng)絡(luò)的穩(wěn)定性****網(wǎng)絡(luò)、安全、系統(tǒng)、功能實(shí)現(xiàn)結(jié)果負(fù)責(zé)；負(fù)責(zé)所有軟件工具的安裝督導(dǎo)、調(diào)測、配置，應(yīng)配合原廠對軟件進(jìn)行安裝督導(dǎo)、軟件調(diào)測、軟件配置，負(fù)責(zé)對軟件提供商提出設(shè)備初始化配要求。協(xié)調(diào)各廠商完成工程實(shí)施，確保達(dá)到本項(xiàng)目對相關(guān)設(shè)備的規(guī)范和功能等。 合同履行期限：合同生效后60個(gè)工作日內(nèi)貨到安裝調(diào)試完畢并驗(yàn)收合格。 需落實(shí)的政府采購政策內(nèi)容：享受中小微型企業(yè)扶持、支持監(jiān)獄企業(yè)發(fā)展、促進(jìn)殘疾人就業(yè)、脫貧攻堅(jiān)支持企業(yè)等相關(guān)政策。 本項(xiàng)目（是/否）接受聯(lián)合體投標(biāo)：否 二、供應(yīng)商的資格要求 1.滿足《中華人民共和國政府采購法》第二十二條規(guī)定。 2.落實(shí)政府采購政策需滿足的資格要求：非專門面向中小企業(yè)采購。 3.本項(xiàng)目的特定資格要求：無。

注：有意向的投標(biāo)人發(fā)送郵件（項(xiàng)目名稱+公司名稱+聯(lián)系人方式）獲取登記表。

   聯(lián)系人：張 明    

   電話：136 1121 9639

   郵箱：hezuozhaobiao@163.com