本招标项目名称为:乌海能源软件供应链检测平台建设公开招标, 本项目已具备招标条件,现对该项目进行国内资格后审公开招标。
2.项目概况与招标范围
2.1 项目概况、招标范围及标段(包)划分:2.1.1 项目概况: 乌海能源有限责任公司拟通过本项目提出软件供应链建设思路,通过建立软件供应链安全管理规范制度,并配合供应链安全治理工具进行体系落地,有效的保障软件供应链生命周期的各个环节,实现不同业务场景下的最佳实践。
2.1.2 招标范围及标段(包)划分:共划分为一个标段。主要包括4个应用系统和1项定制化服务,满足管理者在不同场景的使用需要:
1)静态应用安全测试(SAST)
依据 对于软件供应链安全工作的要求以及乌海能源公司软件供应链安全平台静态应用安全测试(SAST)系统建设的要求,静态应用安全测试(SAST)系统是基于软件安全开发生命周期管理的源代码安全检测系统。在不改变当前研发流程和组织架构的前提下,实现开发阶段的代码安全漏洞生命周期闭环管理,实现源代码安全的自动化检测,漏洞周期管理,安全质量分析,实现源代码安全的可视化管理。
2)软件成分分析系统(SCA)
依据 对于软件供应链安全工作的要求以及乌海能源公司软件供应链安全平台软件成分分析系统(SCA)建设的要求,软件成分分析系统(SCA)需要在项目建设阶段,通过分析技术和指纹识别技术实现快速的软件成分安全检测,并提供弹性私有云部署模式建立一站式服务解决方案,对项目安全进行高度可视化、可持续化管理。将风险发现能力贯穿于项目开发周期中,将软件成分风险在业务系统上线前被提前发现并及时得到解决。
3)交互式应用安全检测系统(IAST)
依据 对于软件供应链安全工作的要求以及乌海能源公司软件供应链安全平台交互式应用安全检测(IAST)系统建设的要求,交互式应用安全检测(IAST)系统需要在项目测试阶段,使用基于请求和基于代码数据流两种技术融合的IAST技术架构。该技术融合SAST和DAST的技术特点。在测试阶段无缝集成,既可高准确性的检测应用自身安全风险,也可检测第三方组件及其漏洞,具备实时告警响应能力,是应用系统上线前漏洞检测的主要技术平台。
4)全方位资产监管及风险扫描(软件)
依据 对于软件供应链安全工作的要求以及乌海能源公司软件供应链安全平台全方位资产监管及风险扫描(软件)系统建设的要求,全方位资产监管及风险扫描(软件)系统需要从攻击者视角出发,发现企业资产暴露面,通过漏洞风险、高危服务、外部威胁情报分析等多维度持续监控,帮助乌海能源公司高效地应对最新安全风险,实时捕捉企业风险并及时通过日报、邮件等方式告知相关人员,实现资产透明化管控、全面资产安全风险量化,建立常态化安全运营能力。
5)针对现有软件供应链体系定制服务
安全功能测试、业务应用安全检测培训等安全测试流程规范;制定上线前安全检查卡点及相应的安全评审要求;
制定最佳安全实践的编码规范,定义安全编码要求和标准;软件安全开发知识培训。
针对公司已建设的38个业务系统进行漏洞扫描、代码审计、渗透测试服务并输出相关报告。验收后1年内,厂商须对新增业务系统的漏洞扫描、代码审计、渗透测试报告继续履行厂商认证服务(含盖章)。
2.1.3 交货期:合同(或技术协议)签订后170日内。
2.1.4 交货地点:内蒙古乌海市招标人指定地点。
2.2 其他:/
3.投标人资格要求
3.1 资质条件和业绩要求:
【1】资质要求:投标人须为依法注册的独立法人或其他组织,须提供有效的证明文件。
【2】财务要求:/
【3】业绩要求:2019年8月至投标截止日(以合同签订时间为准),投标人须至少具有网络安全软件采购或网络安全态势感知平台(或网络安全平台或网络安全系统)建设或软件供应链安全监测平台建设业绩1份。投标人须提供能证明本次招标业绩要求的合同扫描件,合同扫描件须至少包含:合同买卖双方盖章页、合同签订时间和业绩要求中的关键信息页。
【4】信誉要求:/
【5】项目负责人的资格要求:/
【6】其他主要人员要求:/
【7】设备要求:/
【8】其他要求:/
3.2 本项目不接受联合体投标。
4.招标文件的获取
4.1 招标文件开始购买时间2024-08-27 16:00:00,招标文件购买截止时间2024-09-02 16:00:00。