辽宁/鞍山-2025-07-11 00:00:00
您当前未登录,“*”号内容请 登录后查看。
中国邮政技术中台安全能力中心
组件安全检测子系统投标人相关资质采前公示公告
各潜在投标人:
为进一步全面提升中国邮政技术中台安全能力,强化组件安全检测关键能力,中国邮政集团有限公司(以下称“中国邮政”)已批准中国邮政技术中台安全能力中心工程建设。中国邮政技术中台安全能力中心组件安全检测子系统项目已具备招标条件,现公开招标前就资质认证要求、产品核心技术功能指标要求、团队核心成员资质业绩要求关键资质进行公示,如果潜在投标人对公示关键资质要求存疑,可在公示起止时间内,通过公示受理渠道反馈。
一、公示关键资质 (一)资质认证要求- ? (废标项)投标产品核心系统(包含组件安全检测软件管理系统及检测引擎,不包含与中国邮政技术中台集成开发部分)须具有中华人民共和国国家版权局颁发的《计算机软件著作权登记证书》。
- ? (评分项)投标人应具备中国网络安全审查认证和市场监管大数据中心(原中国网络安全审查技术与认证中心)颁发的**产品信息安全认证证书,符合评估保障级(****级及以上)或中国信息安全测评中心颁发的信息技术安全产品测试证书,符合****级及以上。
- ? (评分项)投标产品应具备国家信息安全漏洞库(*****)兼容性资质证书。
- ? (评分项)投标产品应具备国际***兼容性认证证书(*********** ** *** *************)。
- ? (评分项)投标人或原厂开发商应具备****(能力成熟度模型集成)*(含)或以上认证,保障项目高质量交付,并提供资质复印件。
- ? (评分项)投标人应具备中国网络安全审查认证和市场监管大数据中心(原中国网络安全审查技术与认证中心)颁发的信息安全服务资质,包括:风险评估服务资质(一级)。
- ? (评分项)投标人应具备国家计算机网络应急技术处理协调中心(******/**)网络安全应急服务支撑单位,并在有效期内。
|
对应章节 |
类型 |
产品核心技术功能指标 |
|
*.* |
评分项 |
支持主流编程语言的开源组件识别,包括: (*)**** (*)****** (*)********** (*)****** (*)***** (*)*********** (*)****** (*)*/*++ (*).*** (**)*** (**)***** (**)**** (**)**** (**)****** (**)**** |
|
*.* |
评分项 |
支持本地上传文件进行开源组件识别,文件类型包含以下类型: (*)源码包格式类型,包括: *.*** *.*** *.***.** *.*** 等。 (*)制品包格式类型:包括: *.*** *.*** *.*** *.*** *.*** *.*** *.***** *.*** *.*** **.*** **.*** **.*** **.*** **.*** **.*** **.* **.*** **.** **.*** **.*** **.*** **.*** **.*** **.******* ********** *** *********(.***) **.******* ********** *** ********* **.******* **** ********** *** |
|
*.* |
评分项 |
支持对常用依赖包管理器进行依赖检测,包括: (*)*****(适用于****/******语言) (*)******(适用于/******语言) (*)***(适用于**********语言) (*)****(适用于**********语言) (*)****(适用于******语言) (*)******(适用于******语言) (*)*****(适用于******语言) (*)********(适用于***语言) (*)*********(适用于*****或***********语言) (**)***(适用于**语言) (**)** *******(适用于**语言) (**)*****(适用于*/*++语言) (**)*****(适用于.***语言) (**)****(适用于***语言) (**)***(适用于*****、****语言) (**)********(适用于****语言) (**)******(适用于****语言) (**)*****(适用于****语言) (**)*****(适用于******语言) (**)*****(适用于****语言) |
|
*.* |
废标项 |
基于*/*架构,支持多用户同时使用浏览器访问,支持多个检测任务并发执行,并发数量须无限制。 |
|
*.* |
废标项 |
支持两级管理模式(支持按需定制化开发,例如项目、应用两级管理模式),项目可设置项目成员以及权限,可指定项目的重要等级、项目类型、项目经理,如互联网项目或内网项目。项目、应用创建数量须无限制。 |
|
*.** |
评分项 |
能够提供开源组件的最新发布版本、与当前版本差异最小的无漏洞版本、其他无漏洞的可用版本,并提供这些版本的详细信息(至少包括组件名称、版本号、发布时间)。 |
|
*.** |
评分项 |
提供全量的本地化知识库,包括开源项目信息、版本信息、开源协议、漏洞库信息。其中: (*)收录开源项目数不低于****; (*)组件版本收录数量不低于*.*亿条; (*)收录漏洞数量不低于**万条; (*)收录开源协议类型数量不低于****个。 |
|
*.** |
评分项 |
支持开源组件的检测结果导出功能,报告内容包括开源组件信息、漏洞信息、组件来源、建议版本、漏洞利用难度评级。导出格式支持****、*****、***、软件物料清单(****)标准格式文件(****、*********),导出的检测报告支持批量下载。 |
|
*.** |
评分项 |
支持平台报告在本地化的上传核验,在平台中判断报告是否被篡改,防止造假。 |
|
*.** |
评分项 |
支持根据管控策略对组件进行管控预警,可展示项目名称、应用名称、组件名称、组件版本、组件等级、管控状态,预警通知可通过邮件或站内信发送。 |
|
*.** |
评分项 |
支持源码分析功能,通过上传源码包,对其文件进行有效代码比对,分析当前文件的代码行数、文件格式分布、匹配度信息,判断文件是否为自研,检测源码自研率。 |
|
*.** |
评分项 |
支持对源代码敏感信息的分析,至少包括:***、**、邮箱、身份证号、银行卡号。 |
|
*.** |
评分项 |
对外提供二次开发接口(包括支持外部系统添加用户、发起检测任务、获取任务状态、获取组件列表、获取漏洞列表以及离线报告生成、查询、下载功能)。乙方提供接口文档。 |
|
*.** |
评分项 |
应支持****(包括*** ********* ******)对接。 |
|
*.** |
评分项 |
支持系统内置用户和外接用户(含****)统筹安全管理,可以统一展示用户列表、详情、修改用户信息、冻结或解冻用户。内置用户支持根据用户模版批量导入用户。 |
|
*.** |
评分项 |
支持对同一组件在不同环境下组件同源识别,通过文件二进制信息进行分类,防止用户对同组件的识别和检测误报。 |
|
*.** |
评分项 |
支持检测二进制文件信息,包括:******* **文件中的版本信息、文件头信息、导入表信息、导出函数信息;***** ***文件中的编译信息、文件头信息。以上提供截图及演示录屏。 |
|
*.** |
评分项 |
支持对二进制文件的编译选项进分析检测,包括: (*)支持检测******* **文件中的地址空间布局随机化 (*)支持检测************代码签名 (*)支持检测数据执行保护 (*)支持检测强制完整性检查 (*)支持检测安全结构化异常处理选项的检测 (*)支持检测支持对***** ***文件中的控制 (*)支持检测堆栈保护 (*)支持检测强化保护 (*)支持检测动态链接库 (**)支持检测非可执行堆栈 (**)支持检测只读重定位选项的检测 (**)支持检测支持对***** *****文件中的加密 (**)支持检测强化保护 (**)支持检测非可执行堆限制 (**)支持检测自动引用计数选项的检测 |
|
*.** |
评分项 |
支持对软件许可在不同使用场景下的合规风险等级分析,可基于内部使用、分发代码、专利授权进行风险自动判断。 |
- ? (评分项)项目经理须具备网络或计算机或信息安全相关专业本科及以上学历、*年及以上工作经验,为证明项目经理具有系统运维管理和信息安全管理专业知识,项目经理应具备***证书或**** * ********** *********** ** ** ******* **********证书或*****风险管理证书,并提供资质复印件。
- ? (评分项)技术工程师须具备本科及以上学历、*年及以上工作经验,应具备****或*****证书,并提供资质复印件。
****年*月**日至**日
三、公示受理渠道项目公示受理邮箱:********@****.*********.***.**
项目公示受理电话:************ / ***********
备注:如需提交详细反馈信息的,请填写附件*加盖公章后将扫描件发送公示受理邮箱。
附件*:公示存疑详细情况反馈表
|
中国邮政技术中台安全能力中心组件安全检测子系统投标人相关资质采前公示存疑详细情况反馈表 |
|
|
厂商名称: |
联系人: |
|
联系人电话: |
联系人邮箱: |
|
详细情况描述: ? |
|
|
? ? 日期 (此处应加盖公章) |
?
?
?
