源代码安全审计工具采购比价公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
易航科技源代码安全审计工具采购比价公告
易航科技股份有限公司拟对以下项目进行采购,诚邀具有资质的供应商参与,现将有关事宜公告如下:
一、项目简介
(一)项目名称:易航科技源代码安全审计工具采购
(二)比价单位:易航科技股份有限公司
(三)资金来源:企业自筹
(四)项目概况:为查找代码层面的安全缺陷,本项目招标源代码安全审计工具,签署单次采购合同。
(五)招标内容及范围
最终需求以招标文件为准。
1.需求概况
项号 | 采购内容 | 单位 | 数量 |
1 | 源代码安全审计工具,包含软、硬件,1年产品系统免费升级授权、远程支持服务,并提供软、硬件产品的安装部署服务。 | 套 | 1 |
2.详细技术需求
序号 | 内容 | 描述 |
1 | 支持代码语言 | 包括不限于:Java、Java(Android)、Jsp、C#、ASP.NET、VB.NET、PHP、C、C++、Python、JavaScript、Objective-C、Swift、ABAP、Go、TSQL、PL/SQL、node.js、react.js、html、 |
2 | 支持OWASP top 10 | 1 不安全的反序列 包括XStream不安全的反序列化、JSON不安全的反序列化、BeanUtils不安全的反序列化等,不安全的反序列化,容易利用反序列化方法注入漏洞,造成执行恶意处理 2 SQL注入 包括通过不可信来源的输入构建动态 SQL 指令、使用通过不可信来源的输入构建的动态 SQL 语句、二阶SQL注入、SQL注入等 3 命令行注入 在应用程序执行的命令中包含来源于不可信数据时,程序本身没有对这些不可信数据做正确、合理的验证和过滤,导致系统执行恶意命令。 4 失效的身份验证 包括弱密码验证、空密码、弱验证、弱加密、硬编码密码、配置文件中的空密码、配置文件中的未加密密码、Cookie未经过SSL加密等,都会带来身份校验的失效,带来风险 5 跨站脚本攻击 包括存储型XSS、反射型XSS、文档型XSS。例如向 Web 浏览器发送非法数据会导致浏览器执行恶意代码、依靠 HTML、XML 或其他类型编码验证用户输入,可能会导致浏览器执行恶意代码 6 拒绝服务攻击 包括资源状态不允许的情况下使用或释放、资源释放后继续使用、没有按照资源的规格说明操作资源、循环跳出条件无法满足等 7 明文存储密码 包括采用明文的形式存储密码会危及系统安全、使用空字符串作为密码是不安全的做法、当密码作为 HTTP 重定向的一部分进行传送时,可能会造成密码被显示、记录或存储在缓存中等 8 执行恶意代码 包括向 Web 浏览器发送非法数据会导致浏览器执行恶意代码、依靠 HTML、XML 或其他类型编码验证用户输入,可能会导致浏览器执行恶意代码 |
3 | 支持安全缺陷类型 | 类型分类数据处理类SQL注入命令行注入持久型跨站脚本反射型跨站脚本弱加密哈希算法硬编码PBE盐值RSA加密填充不足LDAP注入XPath注入不安全的路径操作不安全的路径操作数据绑定不安全(不受信任的数据作为正则表达式XML外部实体注入(XXE)J2EE Sockets不良实现邮件不安全的传输存储在会话中的不可序列化对象不安全反序列化反射型跨站脚本安全功能类信任边界违背不安全的矢量初始化不安全的反射密码硬编码密码明文存在配置文件中弱密码散列明文存储用户名不安全反序列化DNS 名称使用方式不安全敏感信息存储在持久性Cookie中IP地址硬编码开放式重定向错误的类比较系统信息泄露异常错误类过于宽泛的异常抛出数组索引越界过于宽泛的异常捕捉缺少Null检查Null间接引用空指针取消引用程序捕获空指针异常不完整的Servlet错误处理表达式永远为true程序捕获空指针异常Throw语句在Finally中使用存在多流提交的错误代码(表达式永远为false空Try块空catch块资源使用安全缺陷任意文件上传流资源未释放J2EE线程不良实现Sockets资源未释放数据库资源未释放环境类 非同步方法覆盖同步方法存在不会使用的方法使用系统输出流未使用的字段不安全的随机数多余调试代码Null间接引用存在未使用的字段不安全的系统配置操作缺少Null检查 |
4 | 支持添加多个源码包 | 是否支持添加多个源码包到一个项目中进行批量检测 |
5 | 支持多项目并发 | 支持>=2个并发任务 |
6 | 硬件要求 | 双核、128G内存、2TB硬盘以上 |
(六)报价要求
指定地点的交货价,包括提供服务所需的产品、包装材料、装卸/运输、税费、进口环节税、增值税等一切为投标和履行合同所需的全部费用。
(七)投标费用
投标人应承担其标书准备与递交等涉及的一切费用,不管投标结果如何,全部费用由投标人负担,全部投标文件、资料、图纸及其所涉及的知识产权归招标人所有,投标人的投标文件均不退回。
(八)付款方式
到货验收合格后60日支付95%,5%质保金1年后支付。
(九)发票要求
1.增值税专用发票,税率为13%。
2.供应商、收款方、开票方保持一致,不允许代收款代开发票。
二、招投标形式
(一)招标形式
各有意向供应商在规定时间内完成报名、提交企业资质等材料,经招标方审核通过后,招标方向供应商发送招标文件(电子版),无须投标人现场购置标书。
(二)标书递交方式
本次投标方式为线下纸质密封投标,投标方仅有一次投标机会。投标人根据标书的具体要求进行报价,报价要求以后续发布招标文件为准。如有特殊需要,采购方可适当提前或延长截标时间。
(三)评标方式
二次谈判后合理最低价中标。
(四)招标文件文件发布
招标文件以后续邮件发布的招标文件(电子版)为准,发布日期和时间以邮件发出时间为准,无须投标人现场购置标书。
(五)投标截止时间和开标时间
投标截止时间以招标文件的截止时间为准,开标时间以采购方通知为准。
三、投标人资格条件
(一)投标人应为具有独立法人资格的生产厂家或中间商,并提供最新年检有效的营业执照;营业执照登记状态应为“存续(在营、开业、在册)”。
(二)投标人参加本次采购活动前五年内(2018年1月1日至开标截止日),在经营活动中没有“列入严重违法失信企业名单(不良供应商名单,以“国家企业信 用信息公示系统”显示信息为准核查)。
(三)法人资格证明书、法人授权书、法人身份证(或护照)复印件、被授权人身份证(或护照)复印件、承诺书、廉洁合规承诺书。
(四)原厂或原厂授权代理商。
(五)投标人提供的测试产品通过招标人验证,产品必须符合本比价公告中的详细技术要求。
(六)不允许转包,法定代表人为同一人的两个及两个以上法人、母公司、全资子公司及其控股公司不能同时参与本项目。
(七)招标方认为的其他禁止事项。
未通过上述资格要求审查的报名人不具备投标资格,招标方有权认定其不具备投标参与资格。任何时候发现投标人提交的相关文件、证明材料或承诺系伪造、变造或捏造的,将取消其投标/中标资格并列入方大集团不良行为供应商名单——视为其已主动放弃自本次投标之日起5年内不参加方大集团及其下属子公司任何采购方式下任何项目。
四、报名要求
(一)资质材料要求:
1.营业执照副本扫描件,如有授权经销文件或证明材料、生产/经营许可证、质量/环境体系认证证书(如有)、全国各地送货保障能力证明(如有)、特种行业许可证等一并附上。
2.法定代表人资格证明书(按附件模板填写并盖章)。
3.授权委托书(按附件模板填写并盖章,含被授权人身份证复印件)。
4.承诺书(按附件模板填写并盖章)。
5.原厂授权函及售后服务承诺函。
6.供应商资格证明材料(详细要求见“报名资料”文件)
7.客户与供应商廉洁合规承诺书(按附件模板填写并盖章)。
8.提供测试产品的测试URL地址并给招标人指定人员开通至少1个月使用权限,以及产品技术白皮书。
上述资质材料每页均需加盖报名单位公章,投标人提供虚假材料的,按虚假投标处理,招标人将取消投标中标资格、没收投标保证金,5年内不得参与本单位招标采购项目,并承担由此造成贵司的经济损失赔偿及法律责任。
(二)报名时间及提交方式
1.报名时间
报名截止时间为2023年1月11日18时00分,各意向人应在截止时间前通过网址:https://espb2b.hnair.com/index进行报名,并通过电子邮件提交资格要求中的所有的报名资料。超过截止时间或报名资料不全者视为放弃。
2.报名方式
报名网址:https://espb2b.hnair.com/index
提交方式:请点击报名网址进行报名,在公告附件处下载《报名资料要求》,按报名资料要求准备报名材料并发送邮件至jiang.chen@hnair.com,发邮件时请注明邮件主题名称:XXX公司报名XXX招标项目报名资料。所有提供资料按《报名资料要求》要求的顺序进行编号、命名、以一份完整的PDF格式文件提交。网上报名如不按此要求发送邮件,招标方对邮件遗失所造成的任何后果不负任何责任。
3.招标/比价联系人及联系方式
联系人: 陈江
联系电话: 089868875891/17789841174
电子邮箱:jiang.chen@hnair.com
五、监督举报方式
纪检监察渠道:受理邮箱:yhkjsjjczx@hnair.com,受理电话:0898-68875606,信函寄送地址:海南省海口市国兴大道5号海南大厦26层,易航科技股份有限公司审计监察中心负责人(收),邮编:570203。
附件:1.报名资料及格式要求
易航科技股份有限公司
2023年1月5日
微信扫码关注
