開源安全與合規(guī)治理平臺(tái)(基礎(chǔ)版)、鏡像安全與合規(guī)治理平臺(tái)、源代碼靜態(tài)分析系統(tǒng)等設(shè)備購(gòu)置招標(biāo)公告

一、項(xiàng)目基本情況 項(xiàng)目編號(hào)：Jp******** 項(xiàng)目名稱：開源安全與合規(guī)治理平臺(tái)（基礎(chǔ)版）、鏡像安全與合規(guī)治理平臺(tái)、源代碼靜態(tài)分析系統(tǒng)等設(shè)備購(gòu)置 包組編號(hào)：001 預(yù)算金額（元）：******** 最高限價(jià)（元）：******** 采購(gòu)需求：查看 1.軟件部分-開源安全與合規(guī)治理平臺(tái)（軟件成分分析（SCA）工具）（數(shù)量1）：支持自定義評(píng)分，可根據(jù)檢測(cè)項(xiàng)目/版本/任務(wù)等調(diào)整評(píng)級(jí)策略，進(jìn)行相關(guān)自定義修改，可按照各類型組件扣分等規(guī)則進(jìn)行設(shè)定；能夠識(shí)別主流開發(fā)語言如Java、JavaScript、Go/Golang、Python、PHP、C/C++、.Net、Ruby、Perl、R等主流語言的開源組件識(shí)別,支持常用的依賴包管理器，包括但不限于Npm、Yarn、Pypi、Gem、Ruby Gems、Cargo、HEX、Cpanm、Cljr、leiningen、cran等，支持分析出文件所使用的開源組件的詳細(xì)信息，包括組件名稱、版本、組件危害等級(jí)、版本發(fā)布日期、許可協(xié)議、漏洞分布等。2.軟件部分-鏡像安全與合規(guī)治理平臺(tái)（容器鏡像安全檢測(cè)工具）（數(shù)量1）：軟件形態(tài)，支持save，export等多種鏡像導(dǎo)出格式的檢測(cè)；支持自定義漏洞，支持根據(jù)用戶需求新增未公開漏洞信息，及時(shí)避免相關(guān)風(fēng)險(xiǎn);支持管控策略，支持自定義黑白名單進(jìn)行相關(guān)風(fēng)險(xiǎn)管控;支持檢測(cè)文件中存在的供應(yīng)鏈惡意攻擊（供應(yīng)鏈投毒），判斷制品包是否已被攻擊者所控制，同時(shí)定位風(fēng)險(xiǎn)所在項(xiàng)目并預(yù)警等。3.軟件部分-源代碼靜態(tài)分析系統(tǒng)（靜態(tài)應(yīng)用程序安全測(cè)試（SAST）工具）（數(shù)量1）：覆蓋的語言種類包括JAVA、JSP、 C、C++、Javascript、Typescript、SQL、PHP 、Python、Objective-C、Cobol、Swift、Kotlin、Go、Lua、Fortran 、Shell、Dart、Scala、Ruby、ArkTS等；掃描不需要依賴具體的編譯器和開發(fā)環(huán)境，無需用戶預(yù)編譯，用戶可直接提交源代碼進(jìn)行檢測(cè)；.可檢測(cè)代碼文件、配置文件等中的敏感信息，如商業(yè)憑證、身份信息、加密密鑰、非對(duì)稱私鑰、API密鑰、銀行卡號(hào)和訪問Token等。支持用戶自定義敏感信息規(guī)則等。4.軟件部分-動(dòng)態(tài)測(cè)試自動(dòng)化工具（動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST）工具）（數(shù)量1）：支持漏洞詳情展示，包括但不限于漏洞位置、危害等級(jí)、漏洞描述、漏洞風(fēng)險(xiǎn)、修復(fù)建議、請(qǐng)求信息、合規(guī)信息、安全/不安全代碼示例，以及自定義修改漏洞等級(jí)、危害等級(jí)、描述、建議等；支持主動(dòng)掃描和被動(dòng)掃描兩種安全檢測(cè)方式，滿足不同場(chǎng)景下的檢測(cè)需求，支持注入類、失效身份驗(yàn)證和會(huì)話管理類、使用硬編碼憑證、使用弱加密算法及弱隨機(jī)數(shù)、服務(wù)器請(qǐng)求偽造（SSRF）、跨站請(qǐng)求偽造（CSRF）、任意文件上傳、讀取和目錄遍歷、不安全的反序列化、跨站腳本攻擊（XSS）、敏感信息泄露、XML外部實(shí)體注入攻擊（XXE）等Web應(yīng)用漏洞檢測(cè)、敏感數(shù)據(jù)未加密存儲(chǔ)、敏感數(shù)據(jù)未加密返回前端等。5.軟件部分-二進(jìn)制軟件成分分析平臺(tái)（基于二進(jìn)制軟件基因的供應(yīng)鏈安全檢測(cè)工具）（數(shù)量1）：支持下列操作系統(tǒng)及架構(gòu)二進(jìn)制包檢測(cè)，包括但不限于：Linux x86、Linux x86-64、Linux arm32、Linux aarcp4、Linux mips32、Linux mips64、Linux mipsel32、Linux mipsel64、Windows x86、Windows x86-64、Darwin arm64/aarcp4、Darwin x86-64等；支持啟發(fā)式二進(jìn)制解包，通過文件頭魔數(shù)(Magic Number)來識(shí)別文件格式而不是依據(jù)文件后綴識(shí)別，最大程度解包出二進(jìn)制格式中的可執(zhí)行文件等。6.軟件部分-威脅情報(bào)平臺(tái)（數(shù)量1）：提供情報(bào)類型包括軟件漏洞、第三方組件漏洞、組件投毒威脅、軟件斷供威脅、假冒偽劣威脅、供應(yīng)商威脅等；基于開源情報(bào)、商用情報(bào)、交換情報(bào)、私有情報(bào)、APT組織數(shù)據(jù)、安全產(chǎn)品數(shù)據(jù)、漏洞數(shù)據(jù)、第三方平臺(tái)數(shù)據(jù)等多源的威脅情報(bào)基礎(chǔ)數(shù)據(jù)能力，結(jié)合資產(chǎn)數(shù)據(jù)支撐，及時(shí)響應(yīng)因外部安全環(huán)境變化而引入的一些安全風(fēng)險(xiǎn)，通過情報(bào)請(qǐng)閱等方式向供應(yīng)鏈相關(guān)方分享供應(yīng)鏈威脅情報(bào)。分中心威脅情報(bào)平臺(tái)與總中心威脅情報(bào)平臺(tái)通過數(shù)據(jù)交互接口進(jìn)行威脅情報(bào)上傳、同步等。7. 軟件部分-分中心供應(yīng)鏈安全服務(wù)管理平臺(tái)（數(shù)量1）：基于分中心供應(yīng)鏈安全服務(wù)管理平臺(tái)，對(duì)分中心開展的相關(guān)供應(yīng)鏈安全服務(wù)進(jìn)行管理，具備供應(yīng)鏈體系合規(guī)審查服務(wù)管理、供應(yīng)商安全能力評(píng)估服務(wù)管理、威脅情報(bào)服務(wù)管理、人員安全培訓(xùn)服務(wù)管理、各類數(shù)據(jù)展示以及與總中心的數(shù)據(jù)交互功能等基礎(chǔ)能力；資產(chǎn)清單：以被檢測(cè)軟件作為資產(chǎn)，對(duì)軟件資產(chǎn)進(jìn)行自動(dòng)化管理，識(shí)別供應(yīng)鏈檢測(cè)項(xiàng)目的組件、代碼、容器等相關(guān)資產(chǎn)，并對(duì)相關(guān)按照軟件供應(yīng)鏈檢測(cè)中心項(xiàng)目維度對(duì)資產(chǎn)進(jìn)行分類與管理等。8.服務(wù)器（數(shù)量1）：含7單臺(tái)服務(wù)器配置：主流品牌，CPU≥16核，內(nèi)存≥32G，硬盤≥16TB；操作系統(tǒng)等。9.安全設(shè)備（數(shù)量1）：硬件設(shè)備，1*管理口，2*USB，1*Console口，業(yè)務(wù)口：≥4個(gè)千兆電口（含兩對(duì)內(nèi)置BYPASS），≥4千兆光口，硬盤：≥2TB，設(shè)備性能：HTTP吞吐量≥3Gbps，HTTPS吞吐量≥500Mbps，HTTP最大并發(fā)連接數(shù)≥60萬，HTTP最大新建連接數(shù)≥5000，HTTPS最大并發(fā)連接數(shù)≥2萬，HTTPS最大新建連接數(shù)≥1000，每秒事務(wù)處理數(shù)≥8000；支持終端可視化大屏展示，包括終端安全管控大屏和安全概況大屏，安全概況展示內(nèi)容包括風(fēng)險(xiǎn)總數(shù)、今日新增、防護(hù)概況、檢測(cè)概況、入侵檢測(cè)概況、防護(hù)風(fēng)險(xiǎn)趨勢(shì)、安全動(dòng)態(tài)等信息，支持在首頁(yè)展示當(dāng)前終所有終端待處理的高危風(fēng)險(xiǎn)信息，包括弱口令、待處理病毒、待處理漏洞等數(shù)據(jù)等。10.大屏（數(shù)量1）：提供100寸電視2臺(tái)，帶電視支架,帶掛墻掛架，可移動(dòng)，提供可視化展示，屏幕刷新率≥120Hz，分辨率4K；提供展示控制裝置4套，與展示電視兼容適配，可對(duì)檢測(cè)測(cè)試全流程進(jìn)行展示等。11.儀器設(shè)備安裝與裝修（數(shù)量1）：負(fù)責(zé)協(xié)調(diào)軟件工具供應(yīng)商完成聯(lián)調(diào)測(cè)試與驗(yàn)證服務(wù)工作，保證本項(xiàng)目中所有工具的功能要求達(dá)到系統(tǒng)建設(shè)的目標(biāo)，滿足業(yè)務(wù)****網(wǎng)絡(luò)的穩(wěn)定性****網(wǎng)絡(luò)、安全、系統(tǒng)、功能實(shí)現(xiàn)結(jié)果負(fù)責(zé)；負(fù)責(zé)所有軟件工具的安裝督導(dǎo)、調(diào)測(cè)、配置，應(yīng)配合原廠對(duì)軟件進(jìn)行安裝督導(dǎo)、軟件調(diào)測(cè)、軟件配置，負(fù)責(zé)對(duì)軟件提供商提出設(shè)備初始化配要求。協(xié)調(diào)各廠商完成工程實(shí)施，確保達(dá)到本項(xiàng)目對(duì)相關(guān)設(shè)備的規(guī)范和功能等。 合同履行期限：合同生效后60個(gè)工作日內(nèi)貨到安裝調(diào)試完畢并驗(yàn)收合格。 需落實(shí)的政府采購(gòu)政策內(nèi)容：享受中小微型企業(yè)扶持、支持監(jiān)獄企業(yè)發(fā)展、促進(jìn)殘疾人就業(yè)、脫貧攻堅(jiān)支持企業(yè)等相關(guān)政策。 本項(xiàng)目（是/否）接受聯(lián)合體投標(biāo)：否 二、供應(yīng)商的資格要求 1.滿足《中華人民共和國(guó)政府采購(gòu)法》第二十二條規(guī)定。 2.落實(shí)政府采購(gòu)政策需滿足的資格要求：非專門面向中小企業(yè)采購(gòu)。 3.本項(xiàng)目的特定資格要求：無。

注：有意向的投標(biāo)人發(fā)送郵件（項(xiàng)目名稱+公司名稱+聯(lián)系人方式）獲取登記表。

   聯(lián)系人：張 明    

   電話：136 1121 9639

   郵箱：hezuozhaobiao@163.com