*.软件部分*开源安全与合规治理平台（软件成分分析（***）工具）（数量*）：支持自定义评分，可根据检测项目/版本/任务等调整评级策略，进行相关自定义修改，可按照各类型组件扣分等规则进行设定；能够识别主流开发语言如****、**********、**/******、******、***、*/*++、.***、****、****、*等主流语言的开源组件识别,支持常用的依赖包管理器，包括但不限于***、****、****、***、**** ****、*****、***、*****、****、*********、****等，支持分析出文件所使用的开源组件的详细信息，包括组件名称、版本、组件危害等级、版本发布日期、许可协议、漏洞分布等。

*.软件部分*镜像安全与合规治理平台（容器镜像安全检测工具）（数量*）：软件形态，支持****，******等多种镜像导出格式的检测；支持自定义漏洞，支持根据用户需求新增未公开漏洞信息，及时避免相关风险;支持管控策略，支持自定义黑白名单进行相关风险管控;支持检测文件中存在的供应链恶意攻击（供应链投毒），判断制品包是否已被攻击者所控制，同时定位风险所在项目并预警等。

*.软件部分*源代码静态分析系统（静态应用程序安全测试（****）工具）（数量*）：覆盖的语言种类包括****、***、 *、*++、**********、**********、***、*** 、******、***********、*****、*****、******、**、***、******* 、*****、****、*****、****、*****等；扫描不需要依赖具体的编译器和开发环境，无需用户预编译，用户可直接提交源代码进行检测；.可检测代码文件、配置文件等中的敏感信息，如商业凭证、身份信息、加密密钥、非对称私钥、***密钥、银行卡号和访问*****等。支持用户自定义敏感信息规则等。

*.软件部分*动态测试自动化工具（动态应用程序安全测试（****）工具）（数量*）：支持漏洞详情展示，包括但不限于漏洞位置、危害等级、漏洞描述、漏洞风险、修复建议、请求信息、合规信息、安全/不安全代码示例，以及自定义修改漏洞等级、危害等级、描述、建议等；支持主动扫描和被动扫描两种安全检测方式，满足不同场景下的检测需求，支持注入类、失效身份验证和会话管理类、使用硬编码凭证、使用弱加密算法及弱随机数、服务器请求伪造（****）、跨站请求伪造（****）、任意文件上传、读取和目录遍历、不安全的反序列化、跨站脚本攻击（***）、敏感信息泄露、***外部实体注入攻击（***）等***应用漏洞检测、敏感数据未加密存储、敏感数据未加密返回前端等。

*.软件部分*二进制软件成分分析平台（基于二进制软件基因的供应链安全检测工具）（数量*）：支持下列操作系统及架构二进制包检测，包括但不限于：***** ***、***** ******、***** *****、***** *******、***** ******、***** ******、***** ********、***** ********、******* ***、******* ******、****** *****/*******、****** ******等；支持启发式二进制解包，通过文件头魔数(***** ******)来识别文件格式而不是依据文件后缀识别，最大程度解包出二进制格式中的可执行文件等。

*.软件部分*威胁情报平台（数量*）：提供情报类型包括软件漏洞、第三方组件漏洞、组件投毒威胁、软件断供威胁、假冒伪劣威胁、供应商威胁等；基于开源情报、商用情报、交换情报、私有情报、***组织数据、安全产品数据、漏洞数据、第三方平台数据等多源的威胁情报基础数据能力，结合资产数据支撑，及时响应因外部安全环境变化而引入的一些安全风险，通过情报请阅等方式向供应链相关方分享供应链威胁情报。分中心威胁情报平台与总中心威胁情报平台通过数据交互接口进行威胁情报上传、同步等。

*. 软件部分*分中心供应链安全服务管理平台（数量*）：基于分中心供应链安全服务管理平台，对分中心开展的相关供应链安全服务进行管理，具备供应链体系合规审查服务管理、供应商安全能力评估服务管理、威胁情报服务管理、人员安全培训服务管理、各类数据展示以及与总中心的数据交互功能等基础能力；资产清单：以被检测软件作为资产，对软件资产进行自动化管理，识别供应链检测项目的组件、代码、容器等相关资产，并对相关按照软件供应链检测中心项目维度对资产进行分类与管理等。

*.服务器（数量*）：含*单台服务器配置：主流品牌，***≥**核，内存≥***，硬盘≥****；操作系统等。

*.安全设备（数量*）：硬件设备，**管理口，*****，*********口，业务口：≥*个千兆电口（含两对内置******），≥*千兆光口，硬盘：≥***，设备性能：****吞吐量≥*****，*****吞吐量≥*******，****最大并发连接数≥**万，****最大新建连接数≥****，*****最大并发连接数≥*万，*****最大新建连接数≥****，每秒事务处理数≥****；支持终端可视化大屏展示，包括终端安全管控大屏和安全概况大屏，安全概况展示内容包括风险总数、今日新增、防护概况、检测概况、入侵检测概况、防护风险趋势、安全动态等信息，支持在首页展示当前终所有终端待处理的高危风险信息，包括弱口令、待处理病毒、待处理漏洞等数据等。

**.大屏（数量*）：提供***寸电视*台，带电视支架,带挂墙挂架，可移动，提供可视化展示，屏幕刷新率≥*****，分辨率**；提供展示控制装置*套，与展示电视兼容适配，可对检测测试全流程进行展示等。

**.仪器设备安装与装修（数量*）：负责协调软件工具供应商完成联调测试与验证服务工作，保证本项目中所有工具的功能要求达到系统建设的目标，满足业务需求，保证网络的稳定性，并最终对网络、安全、系统、功能实现结果负责；负责所有软件工具的安装督导、调测、配置，应配合原厂对软件进行安装督导、软件调测、软件配置，负责对软件提供商提出设备初始化配要求。协调各厂商完成工程实施，确保达到本项目对相关设备的规范和功能等。