雅安市商业银行源代码安全审计工具采购询价函
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
雅安市商业银行源代码安全审计工具采购询价函
一、采购须知
兹有雅安市商业银行源代码安全审计工具采购项目,现诚挚邀请贵公司参加谈判。
1、总则
1.1 项目概况
1.1.1 采购项目:源代码安全审计工具
1.1.2 采购内容:本项目拟采购一套源代码安全审计工具,实现代码审计自动化,从而提高源代码质量,具体要求如下:
1.支持全国产化环境部署,BS架构;
2.支持对主流编程语言进行安全检测,包括但不限于C、C++、JAVA、Python、JS等,支持对包含多种语言的代码包进行检测;
3.支持多任务检测、支持多用户并发。
4.能够对代码检测的结果即缺陷内容进行审计,能够将上一次的审计结果携带到下一次的检测结果中,减少重复审计工作,降低审计成本。
5.支持从代码仓库SVN、Git自动拉取代码进行检测、支持从本地上传代码包进行检测。支持配置自动化检测策略,能够从SVN、Git上获取源代码自动检测。
6.支持对安全漏洞扫描结果进行汇总,并按照问题的严重性和可能性进行级别的划分,如高, 中, 低等级别,支持对安全漏洞按缺陷分类进行筛选,方便审计人员针对某一特定条件进行精准查询。
7.支持软件成分分析(依赖包)并导出,支持对软件成分安全性进行风险评估,推荐最适合版本。
8.支持对代码开发规范进行检测。
9.对审计发现的风险,提供风险描述、修复建议、修复示例。
10.支持对千行代码漏洞等进行统计。
11.支持检测报告导出(Word、PDF、excel等格式),导出时可根据条件进行导出;
12.工具具有完善的角色和权限管理功能,工具支持自定义LOGO、工具名称等,工具不限定使用期限。
13.工具具备稳定性、易用性和可维护性等要求。
14.检测能力要求:(1)对Java语言的支持情况,检测指定的源代码,能够发现以下高中低的安全漏洞:SQL 注入、跨站脚本、命令注入、路径操纵、密码管理、未释放的资源、null引用、不安全的反序列化、HTTP响应截断、重定向、拒绝服务、文件上传、日志伪造、系统信息泄露等;(2)对Python语言的支持情况,检测指定的源代码,能够发现以下安全漏洞:SQL 注入、跨站脚本、命令注入、路径操纵、密码管理、重定向、Cookie安全、XML外部实体注入、日志伪造、服务端请求伪造、Memcached注入等。(3)对C/C++语言的无需编译进行检测支持情况,检测指定的源代码,能够发现以下安全漏洞:SQL 注入、跨站脚本、命令注入、路径操纵、密码管理、资源未释放、内存泄漏、缓冲区溢出、空指针解引用、危险函数、进程控制等。(4)对JS语言的支持情况,检测指定的源代码,能够发现以下安全漏洞:SQL 注入、跨站脚本、命令注入、Object注入、路径遍历、密码管理、重定向、Cookie安全、日志伪造、资源注入、服务器端请求伪造等。
、1.2 对供应商的资格要求:
1.2.1 本项目要求供应商须提供三证合一营业执照或营业执照、税务登记证、组织机构代码证,供应商为源代码安全审计工具的原厂商,本项目不支持代理商。
1.2.2 供应商具有良好的银行资信和健全的财务会计制度;具有依法缴纳税收和社会保障资金的良好记录;参加此类采购活动前三年内,在经营活动中没有违法记录,没有行政处罚,没有重大事故记录,没有处于被责令停业、财产被接管、冻结、破产状态。
1.3 采购谈判
1.3.1 地点:雅安市雨城区熊猫大道379号
雅安市商业银行A座701会议室
1.3.2 时间:请供应商务必在2022年12月19日18时00分前准备好响应文件,具体采购谈判时间地点请致电项目联系人,以实际通知为准。
1.4 报价
1.4.1 该报价应为本采购文件规定的采购范围的全部内容的价格体现,应完全满足采购人的要求。
1.4.2 供应商应充分考虑本项目所涉及的各方面因素和计算所发生的一切费用,供应商报价应包含上述费用。
1.4.3 货币:指定为人民币。
1.5 供应商的确定
采用综合评估法。
综合评分的主要因素是:综合实力、服务方案、商务条款等对采购文件的响应程度,以相对应的比重或者权值进行评分。得分最高的被确定为供应商。
1.6 合同的签署
1.6.1 供应商应于采购通知发出之日起10个工作日内,由法定代表人或授权代表与采购方签订正式合同。
1.6.2 发出采购通知书后,供应商无正当理由拒签合同的,给采购人造成损失的,还应当赔偿损失。
1.7其他
1.7.1请贵单位仔细阅读以下提示及要求,并独立作出有关判断及决定,若贵单位参与本次采购活动,视为认可/同意以下提示、要求及本采购文件及采购人各项组织活动:
1.7.2本采购文件所拟订的合同书反映采购人对采购项目的基本需求或倾向性要求,如未与采购人协商并获得同意或无特殊情况, 该合同书或合同条款将不会修改,除非采购人提出修改。
1.7.3本项目所述之“采购”活动,系按公开,公平、公正原则,根据采购人管理需要及其相关规章制度中有关规定并参照国家有关规定而实施的旨在选择合格供应商的活动, 故有关程序及组织活动,如公告或邀请、发放及递送采购文件等,相关程序应以采购组织为准。
1.7.4就本次采购事宜,采购人保留随时撤销的权利,且无须对供应商作出解释,也不对供应商作出任何补偿。
采购项目联系人:登录即可免费查看
电话:登录即可免费查看
E-mail:410878496@qq.com
二、响应文件
响应文件格式、内容及装订要求
响应文件必须按以下顺序编写、装订,且内容齐全,否则作无效文件处理。(相关附件材料电子文档请联系采购项目联系人获取)
1.响应文件封面(格式见附件1);
2.响应文件目录(每部分内容的名称、页码);
3.产品报价表(格式见附件2);
4.三证合一营业执照或营业执照、税务登记证、组织机构代码证(复印件加盖公章);
5.法定代表人身份证明(复印件加盖公章);
6.授权委托书及身份证明(格式见附件3,复印件加盖公章);
7.廉政承诺书(格式见附件4);
8.产品质保期承诺(免费维保期不低于2年);
9.专业资质类证书(复印件加盖公章);
10.实施案例(2019年1月1日以来与金融机构合作的类似项目实施案例);需提供证明材料:如供货合同复印件,中标通知书复印件,验收证明材料等;
11.实施及培训方案。
12.实施团队介绍(包括人数、简历、人员资质等);
14.售后服务方案及承诺(包含但不限于电话响应时间、现场响应时间、备机服务等承诺);
15.技术及服务偏离表(格式见附件5)
16.上线时间承诺;
17.其他增值服务。
三、成交条件
获得最佳综合评价的供应商成交。
服务供应商确定原则:谈判小组按照最终谈判结果,依据上述响应文件细则打分,最终得分最高的被推荐为项目供应商。
附件.docx
一、采购须知
兹有雅安市商业银行源代码安全审计工具采购项目,现诚挚邀请贵公司参加谈判。
1、总则
1.1 项目概况
1.1.1 采购项目:源代码安全审计工具
1.1.2 采购内容:本项目拟采购一套源代码安全审计工具,实现代码审计自动化,从而提高源代码质量,具体要求如下:
1.支持全国产化环境部署,BS架构;
2.支持对主流编程语言进行安全检测,包括但不限于C、C++、JAVA、Python、JS等,支持对包含多种语言的代码包进行检测;
3.支持多任务检测、支持多用户并发。
4.能够对代码检测的结果即缺陷内容进行审计,能够将上一次的审计结果携带到下一次的检测结果中,减少重复审计工作,降低审计成本。
5.支持从代码仓库SVN、Git自动拉取代码进行检测、支持从本地上传代码包进行检测。支持配置自动化检测策略,能够从SVN、Git上获取源代码自动检测。
6.支持对安全漏洞扫描结果进行汇总,并按照问题的严重性和可能性进行级别的划分,如高, 中, 低等级别,支持对安全漏洞按缺陷分类进行筛选,方便审计人员针对某一特定条件进行精准查询。
7.支持软件成分分析(依赖包)并导出,支持对软件成分安全性进行风险评估,推荐最适合版本。
8.支持对代码开发规范进行检测。
9.对审计发现的风险,提供风险描述、修复建议、修复示例。
10.支持对千行代码漏洞等进行统计。
11.支持检测报告导出(Word、PDF、excel等格式),导出时可根据条件进行导出;
12.工具具有完善的角色和权限管理功能,工具支持自定义LOGO、工具名称等,工具不限定使用期限。
13.工具具备稳定性、易用性和可维护性等要求。
14.检测能力要求:(1)对Java语言的支持情况,检测指定的源代码,能够发现以下高中低的安全漏洞:SQL 注入、跨站脚本、命令注入、路径操纵、密码管理、未释放的资源、null引用、不安全的反序列化、HTTP响应截断、重定向、拒绝服务、文件上传、日志伪造、系统信息泄露等;(2)对Python语言的支持情况,检测指定的源代码,能够发现以下安全漏洞:SQL 注入、跨站脚本、命令注入、路径操纵、密码管理、重定向、Cookie安全、XML外部实体注入、日志伪造、服务端请求伪造、Memcached注入等。(3)对C/C++语言的无需编译进行检测支持情况,检测指定的源代码,能够发现以下安全漏洞:SQL 注入、跨站脚本、命令注入、路径操纵、密码管理、资源未释放、内存泄漏、缓冲区溢出、空指针解引用、危险函数、进程控制等。(4)对JS语言的支持情况,检测指定的源代码,能够发现以下安全漏洞:SQL 注入、跨站脚本、命令注入、Object注入、路径遍历、密码管理、重定向、Cookie安全、日志伪造、资源注入、服务器端请求伪造等。
、1.2 对供应商的资格要求:
1.2.1 本项目要求供应商须提供三证合一营业执照或营业执照、税务登记证、组织机构代码证,供应商为源代码安全审计工具的原厂商,本项目不支持代理商。
1.2.2 供应商具有良好的银行资信和健全的财务会计制度;具有依法缴纳税收和社会保障资金的良好记录;参加此类采购活动前三年内,在经营活动中没有违法记录,没有行政处罚,没有重大事故记录,没有处于被责令停业、财产被接管、冻结、破产状态。
1.3 采购谈判
1.3.1 地点:雅安市雨城区熊猫大道379号
雅安市商业银行A座701会议室
1.3.2 时间:请供应商务必在2022年12月19日18时00分前准备好响应文件,具体采购谈判时间地点请致电项目联系人,以实际通知为准。
1.4 报价
1.4.1 该报价应为本采购文件规定的采购范围的全部内容的价格体现,应完全满足采购人的要求。
1.4.2 供应商应充分考虑本项目所涉及的各方面因素和计算所发生的一切费用,供应商报价应包含上述费用。
1.4.3 货币:指定为人民币。
1.5 供应商的确定
采用综合评估法。
综合评分的主要因素是:综合实力、服务方案、商务条款等对采购文件的响应程度,以相对应的比重或者权值进行评分。得分最高的被确定为供应商。
1.6 合同的签署
1.6.1 供应商应于采购通知发出之日起10个工作日内,由法定代表人或授权代表与采购方签订正式合同。
1.6.2 发出采购通知书后,供应商无正当理由拒签合同的,给采购人造成损失的,还应当赔偿损失。
1.7其他
1.7.1请贵单位仔细阅读以下提示及要求,并独立作出有关判断及决定,若贵单位参与本次采购活动,视为认可/同意以下提示、要求及本采购文件及采购人各项组织活动:
1.7.2本采购文件所拟订的合同书反映采购人对采购项目的基本需求或倾向性要求,如未与采购人协商并获得同意或无特殊情况, 该合同书或合同条款将不会修改,除非采购人提出修改。
1.7.3本项目所述之“采购”活动,系按公开,公平、公正原则,根据采购人管理需要及其相关规章制度中有关规定并参照国家有关规定而实施的旨在选择合格供应商的活动, 故有关程序及组织活动,如公告或邀请、发放及递送采购文件等,相关程序应以采购组织为准。
1.7.4就本次采购事宜,采购人保留随时撤销的权利,且无须对供应商作出解释,也不对供应商作出任何补偿。
采购项目联系人:登录即可免费查看
电话:登录即可免费查看
E-mail:410878496@qq.com
二、响应文件
响应文件格式、内容及装订要求
响应文件必须按以下顺序编写、装订,且内容齐全,否则作无效文件处理。(相关附件材料电子文档请联系采购项目联系人获取)
1.响应文件封面(格式见附件1);
2.响应文件目录(每部分内容的名称、页码);
3.产品报价表(格式见附件2);
4.三证合一营业执照或营业执照、税务登记证、组织机构代码证(复印件加盖公章);
5.法定代表人身份证明(复印件加盖公章);
6.授权委托书及身份证明(格式见附件3,复印件加盖公章);
7.廉政承诺书(格式见附件4);
8.产品质保期承诺(免费维保期不低于2年);
9.专业资质类证书(复印件加盖公章);
10.实施案例(2019年1月1日以来与金融机构合作的类似项目实施案例);需提供证明材料:如供货合同复印件,中标通知书复印件,验收证明材料等;
11.实施及培训方案。
12.实施团队介绍(包括人数、简历、人员资质等);
14.售后服务方案及承诺(包含但不限于电话响应时间、现场响应时间、备机服务等承诺);
15.技术及服务偏离表(格式见附件5)
16.上线时间承诺;
17.其他增值服务。
三、成交条件
获得最佳综合评价的供应商成交。
服务供应商确定原则:谈判小组按照最终谈判结果,依据上述响应文件细则打分,最终得分最高的被推荐为项目供应商。
附件.docx
微信扫码关注
