招标
恒丰银行2021年源代码安全检测工具采购项目POC测试供应商征集公告
金额
-
项目地址
山东省
发布时间
2021/08/18
公告摘要
项目编号-
预算金额-
招标公司恒丰银行股份有限公司
招标联系人迟晓峰
招标代理机构山东省鲁成招标有限公司
代理联系人李经理17854155805
标书截止时间2021/08/31
投标截止时间2021/08/31
公告正文
恒丰银行2021年源代码安全检测工具采购项目POC测试供应商征集公告
(招标编号:/)
项目所在地区:山东省
一、招标条件
本恒丰银行2021年源代码安全检测工具采购项目POC测试供应商征集公告已由项目审
批/核准/备案机关批准,项目资金来源为其他资金/,招标人为恒丰银行股份有限公司。本
项目已具备招标条件,现招标方式为其它方式。
二、项目概况和招标范围
规模:恒丰银行2021年源代码安全检测工具采购项目
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)恒丰银行2021年源代码安全检测工具采购项目POC测试供应商征集公告;
三、投标人资格要求
(001恒丰银行2021年源代码安全检测工具采购项目POC测试供应商征集公告)的投标
人资格能力要求:1.供应商须依照《中华人民共和国公司法》在中华人民共和国境内注册并
具有法人资格,具有独立承担民事责任的能力。
2.供应商须具有ISO 9001质量管理体系认证。
3.供应商所提供产品须具有公安部颁发的《计算机信息系统安全专用产品销售许可证》。
4.供应商所提供产品须是本公司自主研发的产品,并具有国家版权局颁发的《计算机软件著
作权登记证书》。
5.供应商所提供产品须具有至少1例自2018年1月1日以来的六大行、十二家股份制商业
银行的总行实施案例。
6.本项目不允许联合体投标。;
本项目不允许联合体投标。
四、招标文件的获取
获取时间:从2021年08月18日 08时30分到2021年08月31日 17时00分
获取方式:报名方式:本项目采取网上报名形式,供应商请将营业执照副本扫描件、ISO
9001质量管理体系认证扫描件;公安部颁发的《计算机信息系统安全专用产品销售许可证》
扫描件;国家版权局颁发的《计算机软件著作权登记证书》扫描件;2018年1月1日以来的六大行、十二家股份制商业银行的总行实施案例扫描件等资格要求的资料;发送邮件时请
备注企业名称、联系方式、所报项目名称发送至sdbiding@163.com。
五、投标文件的递交
递交截止时间:2021年08月31日 17时30分
递交方式:将邀请函加盖公章扫描后回传至山东省鲁成招标有限公司邮箱(邮箱:
sdbiding@163.com),逾期未发送的供应商视为自动放弃(以收件时间为准)。所有报名供应
商所投产品必须参加招标人POC测试,未参加POC测试的将不能参加本项目的后续投标发送
至邮箱:sdbiding@163.com
六、开标时间及地点
开标时间:2021年08月31日 17时30分
开标地点:发送至邮箱:sdbiding@163.com
七、其他
恒丰银行2021年源代码安全检测工具采购项目POC测试供应商征集公告
一、采 购 人:恒丰银行股份有限公司
地 址:山东省济南市历下区泺源大街8号绿城金融中心
联系方式:迟晓峰,13361319277
采购代理机构:山东省鲁成招标有限公司
地 址:济南市经十路10567号成城大厦24楼1901房间
联系方式:李经理,17854155805
二、采购项目名称:恒丰银行恒丰银行2021年源代码安全检测工具采购项目POC测试供应
商征集
采购项目编号: /
采购项目分包情况:
标包 采购
内容 数量 供应商资格要求
1 恒丰银行2021年源代码安全检测工具采购项目POC测试供应商征集 1宗 1.供应商须依
照《中华人民共和国公司法》在中华人民共和国境内注册并具有法人资格,具有独立承担民
事责任的能力。
2.供应商须具有ISO 9001质量管理体系认证。
3.供应商所提供产品须具有公安部颁发的《计算机信息系统安全专用产品销售许可证》。
4.供应商所提供产品须是本公司自主研发的产品,并具有国家版权局颁发的《计算机软件著作权登记证书》。
5.供应商所提供产品须具有至少1例自2018年1月1日以来的六大行、十二家股份制商业
银行的总行实施案例。
6.本项目不允许联合体投标。
三、项目背景、测试范围及技术要求
1、项目背景
根据我行软件安全开发管理相关制度要求,应用系统在投产前应开展安全漏洞检测和源代码
安全检测工作,及时发现应用程序中可能存在的弱点与缺陷,避免应用系统带病上线,从而
更好地防御外部黑客及非授权人员对我行信息系统的恶意攻击和非法渗透利用。
为进一步提升我行应用系统安全开发、源代码安全管控能力、安全测试自动化等能力,本项
目拟采购一套新的源代码安全检测工具,将应用安全威胁发现能力前置到开发测试环节,帮
助开发测试人员更加高效的完成各类业务应用系统上线前的代码缺陷检测工作。
2、测试范围及技术要求
本项目计划采购的源代码安全检测工具,主要满足以下业务需求:
支持各类业务应用系统(如WEB应用、APP应用、微信小程序、公众号等)在投产、版本
迭代前的开发测试阶段开展源代码安全检测工作,及时发现安全问题并解决,降低后期发现
问题的整改成本。
源代码安全检测以自动化、自助化形式为主,检测过程不改变现有的软件开发测试工作的
流程,也不会显著增加软件开发测试工作量。
针对各供应商提供的源代码安全检测工具,我行主要针对以下功能指标进行测试评估:
(一)系统功能
1.提供完整的中文支持,支持中文操作系统的安装,系统的操作菜单和操作界面用中文显
示和说明,提供中文操作手册,扫描结果中提供详细的中文问题说明和相应的问题修复建议。
2.用户可以自定义扫描策略,支持专项漏洞扫描;支持配置安全检测频率,可以根据需求,
按照时间、日期定义自动化安全检测频率。
3.能够迅速、准确定位某一特定源代码安全问题所在的缺陷路径、代码片段、源代码行、
成因等关键信息,图形化方式,展示清晰,方便分析和修复。
4.对安全问题具有详细信息描述,内容包括:问题形成机制、详细的代码修复方案等(参
考标准CWE、OWASP TOP10)。
5.支持扫描大型项目,如百万行级代码的项目;针对多任务、多层级、多人并发使用等场景,提供有效简单的测试方法。
6.支持审计,查询条件过滤,能与之前审计结果进行合并,支持自主调整漏洞的危险等级。
7.支持定制化的报告模板,支持生成多种合规性报告和行业标准的报告,支持生成多种格
式安全检测报告,包括但不限于PDF、WORD、HTML等格式报告,检测报告和结果支持通过邮
件等形式自动发送;支持专业化地报告的汇总,合并,趋势分析等,从而集中管理报告和专
业化的展现。
(二)源代码检测能力
1.支持检测业界常用的开发语言、开发框架以及常见的应用类型,包括但不限于:Java、PHP、
Python、C、C++、以及JavaScript(包括 JQuery)、ASP、JSP、.NET 组合件、Perl、SQL、
Android应用、iOS应用、AIX系统下的C语言等开发语言。
2.具备强大的代码分析能力,分析引擎能够从数据流、语义、结构、控制流、配置和跟踪
器等多维度分析代码中存在的安全漏洞和缺陷。
3.具有较低的漏报率和误报率,支持较高的漏洞缺陷检测正确率,消除误报造成的复查工
作,漏洞检测误报率原则上不应超过2%。
4.源代码安全检测工具漏洞或缺陷库的分类和定义应与主流平台的定义和分类相一致,支
持国际通用标准,拥有目前业界最权威的代码漏洞规则库,符合国际标准CWE SANS、OWASP、
WASC等相关标准,并提供及时的升级服务。
5.支持跨站脚本攻击、SQL注入、资源泄漏、命令注入、路径操作、缓冲区溢出漏洞、系
统信息泄漏漏洞等种类数量应不低于800种。
6.支持对安全检测对象引用的第三方组件进行安全分析,能够识别、检测第三方组件安全
问题。
(三)可用性设计
1.产品应具有良好的运行稳定性,避免出现因批量扫描导致运行故障。
2.产品应能够对自身服务状态进行监控,发生部分功能异常时,可通过邮件、短信等方式
及时发送通知。
3.具备分布式部署及扫描实施技术实现方案,支持开放API并能够根据行方需求完成改造
适配等工作。
四、议程安排:
1.报名参与时间:自2021年08月18日起至2021年08月31日止,上午8:30-11:30,下
午14:00-17:00 (北京时间,法定公休日、法定节假日除外)2.报名方式:本项目采取网上报名形式,供应商请将营业执照副本扫描件、ISO 9001质量管
理体系认证扫描件;公安部颁发的《计算机信息系统安全专用产品销售许可证》扫描件;国
家版权局颁发的《计算机软件著作权登记证书》扫描件;2018年1月1日以来的六大行、
十二家股份制商业银行的总行实施案例扫描件等资格要求的资料;发送邮件时请备注企业名
称、联系方式、所报项目名称发送至sdbiding@163.com。
3.是否接受测试反馈时限:2021年08月31日17:30时(北京时间)前将邀请函加盖公章
扫描后回传至山东省鲁成招标有限公司邮箱(邮箱:sdbiding@163.com),逾期未发送的供
应商视为自动放弃(以收件时间为准)。所有报名供应商所投产品必须参加招标人POC测试,
未参加POC测试的将不能参加本项目的后续投标环节。
5.测试地点:济南。
五、有关说明:
1.采购人不统一组织供应商对现场进行勘察。无论供应商对现场考察与否,都将被视为熟
悉履行合同有关的一切情况,并承担一切与磋商有关的风险、责任和义务,勘察现场所发生
的一切费用由供应商自行承担。
2. 单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项
下的采购活动。
六、联系方式:
1.采 购 人:恒丰银行股份有限公司
联 系 人: 迟经理
电 话:13361319277
2.采购代理机构:山东省鲁成招标有限公司
联 系 人:李经理
联系电话:17854155805
发 布 人:山东省鲁成招标有限公司
发布时间:2021年8月18日
八、监督部门
本招标项目的监督部门为恒丰银行股份有限公司。
九、联系方式
招 标 人:恒丰银行股份有限公司 地 址:济南市历下区泺源大街8号绿城金融中心35楼会议室
联 系 人:迟晓峰
电 话:13361319277
电子邮件:/
招标代理机构:山东省鲁成招标有限公司
地 址: 济南市经十路10567号成城大厦24楼2403房间
联 系 人: 李老师
电 话: 17854155805
电子邮件: sdbiding@163.com
招标人或其招标代理机构主要负责人(项目负责人): (签名)
招标人或其招标代理机构: (盖章)
(招标编号:/)
项目所在地区:山东省
一、招标条件
本恒丰银行2021年源代码安全检测工具采购项目POC测试供应商征集公告已由项目审
批/核准/备案机关批准,项目资金来源为其他资金/,招标人为恒丰银行股份有限公司。本
项目已具备招标条件,现招标方式为其它方式。
二、项目概况和招标范围
规模:恒丰银行2021年源代码安全检测工具采购项目
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)恒丰银行2021年源代码安全检测工具采购项目POC测试供应商征集公告;
三、投标人资格要求
(001恒丰银行2021年源代码安全检测工具采购项目POC测试供应商征集公告)的投标
人资格能力要求:1.供应商须依照《中华人民共和国公司法》在中华人民共和国境内注册并
具有法人资格,具有独立承担民事责任的能力。
2.供应商须具有ISO 9001质量管理体系认证。
3.供应商所提供产品须具有公安部颁发的《计算机信息系统安全专用产品销售许可证》。
4.供应商所提供产品须是本公司自主研发的产品,并具有国家版权局颁发的《计算机软件著
作权登记证书》。
5.供应商所提供产品须具有至少1例自2018年1月1日以来的六大行、十二家股份制商业
银行的总行实施案例。
6.本项目不允许联合体投标。;
本项目不允许联合体投标。
四、招标文件的获取
获取时间:从2021年08月18日 08时30分到2021年08月31日 17时00分
获取方式:报名方式:本项目采取网上报名形式,供应商请将营业执照副本扫描件、ISO
9001质量管理体系认证扫描件;公安部颁发的《计算机信息系统安全专用产品销售许可证》
扫描件;国家版权局颁发的《计算机软件著作权登记证书》扫描件;2018年1月1日以来的六大行、十二家股份制商业银行的总行实施案例扫描件等资格要求的资料;发送邮件时请
备注企业名称、联系方式、所报项目名称发送至sdbiding@163.com。
五、投标文件的递交
递交截止时间:2021年08月31日 17时30分
递交方式:将邀请函加盖公章扫描后回传至山东省鲁成招标有限公司邮箱(邮箱:
sdbiding@163.com),逾期未发送的供应商视为自动放弃(以收件时间为准)。所有报名供应
商所投产品必须参加招标人POC测试,未参加POC测试的将不能参加本项目的后续投标发送
至邮箱:sdbiding@163.com
六、开标时间及地点
开标时间:2021年08月31日 17时30分
开标地点:发送至邮箱:sdbiding@163.com
七、其他
恒丰银行2021年源代码安全检测工具采购项目POC测试供应商征集公告
一、采 购 人:恒丰银行股份有限公司
地 址:山东省济南市历下区泺源大街8号绿城金融中心
联系方式:迟晓峰,13361319277
采购代理机构:山东省鲁成招标有限公司
地 址:济南市经十路10567号成城大厦24楼1901房间
联系方式:李经理,17854155805
二、采购项目名称:恒丰银行恒丰银行2021年源代码安全检测工具采购项目POC测试供应
商征集
采购项目编号: /
采购项目分包情况:
标包 采购
内容 数量 供应商资格要求
1 恒丰银行2021年源代码安全检测工具采购项目POC测试供应商征集 1宗 1.供应商须依
照《中华人民共和国公司法》在中华人民共和国境内注册并具有法人资格,具有独立承担民
事责任的能力。
2.供应商须具有ISO 9001质量管理体系认证。
3.供应商所提供产品须具有公安部颁发的《计算机信息系统安全专用产品销售许可证》。
4.供应商所提供产品须是本公司自主研发的产品,并具有国家版权局颁发的《计算机软件著作权登记证书》。
5.供应商所提供产品须具有至少1例自2018年1月1日以来的六大行、十二家股份制商业
银行的总行实施案例。
6.本项目不允许联合体投标。
三、项目背景、测试范围及技术要求
1、项目背景
根据我行软件安全开发管理相关制度要求,应用系统在投产前应开展安全漏洞检测和源代码
安全检测工作,及时发现应用程序中可能存在的弱点与缺陷,避免应用系统带病上线,从而
更好地防御外部黑客及非授权人员对我行信息系统的恶意攻击和非法渗透利用。
为进一步提升我行应用系统安全开发、源代码安全管控能力、安全测试自动化等能力,本项
目拟采购一套新的源代码安全检测工具,将应用安全威胁发现能力前置到开发测试环节,帮
助开发测试人员更加高效的完成各类业务应用系统上线前的代码缺陷检测工作。
2、测试范围及技术要求
本项目计划采购的源代码安全检测工具,主要满足以下业务需求:
支持各类业务应用系统(如WEB应用、APP应用、微信小程序、公众号等)在投产、版本
迭代前的开发测试阶段开展源代码安全检测工作,及时发现安全问题并解决,降低后期发现
问题的整改成本。
源代码安全检测以自动化、自助化形式为主,检测过程不改变现有的软件开发测试工作的
流程,也不会显著增加软件开发测试工作量。
针对各供应商提供的源代码安全检测工具,我行主要针对以下功能指标进行测试评估:
(一)系统功能
1.提供完整的中文支持,支持中文操作系统的安装,系统的操作菜单和操作界面用中文显
示和说明,提供中文操作手册,扫描结果中提供详细的中文问题说明和相应的问题修复建议。
2.用户可以自定义扫描策略,支持专项漏洞扫描;支持配置安全检测频率,可以根据需求,
按照时间、日期定义自动化安全检测频率。
3.能够迅速、准确定位某一特定源代码安全问题所在的缺陷路径、代码片段、源代码行、
成因等关键信息,图形化方式,展示清晰,方便分析和修复。
4.对安全问题具有详细信息描述,内容包括:问题形成机制、详细的代码修复方案等(参
考标准CWE、OWASP TOP10)。
5.支持扫描大型项目,如百万行级代码的项目;针对多任务、多层级、多人并发使用等场景,提供有效简单的测试方法。
6.支持审计,查询条件过滤,能与之前审计结果进行合并,支持自主调整漏洞的危险等级。
7.支持定制化的报告模板,支持生成多种合规性报告和行业标准的报告,支持生成多种格
式安全检测报告,包括但不限于PDF、WORD、HTML等格式报告,检测报告和结果支持通过邮
件等形式自动发送;支持专业化地报告的汇总,合并,趋势分析等,从而集中管理报告和专
业化的展现。
(二)源代码检测能力
1.支持检测业界常用的开发语言、开发框架以及常见的应用类型,包括但不限于:Java、PHP、
Python、C、C++、以及JavaScript(包括 JQuery)、ASP、JSP、.NET 组合件、Perl、SQL、
Android应用、iOS应用、AIX系统下的C语言等开发语言。
2.具备强大的代码分析能力,分析引擎能够从数据流、语义、结构、控制流、配置和跟踪
器等多维度分析代码中存在的安全漏洞和缺陷。
3.具有较低的漏报率和误报率,支持较高的漏洞缺陷检测正确率,消除误报造成的复查工
作,漏洞检测误报率原则上不应超过2%。
4.源代码安全检测工具漏洞或缺陷库的分类和定义应与主流平台的定义和分类相一致,支
持国际通用标准,拥有目前业界最权威的代码漏洞规则库,符合国际标准CWE SANS、OWASP、
WASC等相关标准,并提供及时的升级服务。
5.支持跨站脚本攻击、SQL注入、资源泄漏、命令注入、路径操作、缓冲区溢出漏洞、系
统信息泄漏漏洞等种类数量应不低于800种。
6.支持对安全检测对象引用的第三方组件进行安全分析,能够识别、检测第三方组件安全
问题。
(三)可用性设计
1.产品应具有良好的运行稳定性,避免出现因批量扫描导致运行故障。
2.产品应能够对自身服务状态进行监控,发生部分功能异常时,可通过邮件、短信等方式
及时发送通知。
3.具备分布式部署及扫描实施技术实现方案,支持开放API并能够根据行方需求完成改造
适配等工作。
四、议程安排:
1.报名参与时间:自2021年08月18日起至2021年08月31日止,上午8:30-11:30,下
午14:00-17:00 (北京时间,法定公休日、法定节假日除外)2.报名方式:本项目采取网上报名形式,供应商请将营业执照副本扫描件、ISO 9001质量管
理体系认证扫描件;公安部颁发的《计算机信息系统安全专用产品销售许可证》扫描件;国
家版权局颁发的《计算机软件著作权登记证书》扫描件;2018年1月1日以来的六大行、
十二家股份制商业银行的总行实施案例扫描件等资格要求的资料;发送邮件时请备注企业名
称、联系方式、所报项目名称发送至sdbiding@163.com。
3.是否接受测试反馈时限:2021年08月31日17:30时(北京时间)前将邀请函加盖公章
扫描后回传至山东省鲁成招标有限公司邮箱(邮箱:sdbiding@163.com),逾期未发送的供
应商视为自动放弃(以收件时间为准)。所有报名供应商所投产品必须参加招标人POC测试,
未参加POC测试的将不能参加本项目的后续投标环节。
5.测试地点:济南。
五、有关说明:
1.采购人不统一组织供应商对现场进行勘察。无论供应商对现场考察与否,都将被视为熟
悉履行合同有关的一切情况,并承担一切与磋商有关的风险、责任和义务,勘察现场所发生
的一切费用由供应商自行承担。
2. 单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项
下的采购活动。
六、联系方式:
1.采 购 人:恒丰银行股份有限公司
联 系 人: 迟经理
电 话:13361319277
2.采购代理机构:山东省鲁成招标有限公司
联 系 人:李经理
联系电话:17854155805
发 布 人:山东省鲁成招标有限公司
发布时间:2021年8月18日
八、监督部门
本招标项目的监督部门为恒丰银行股份有限公司。
九、联系方式
招 标 人:恒丰银行股份有限公司 地 址:济南市历下区泺源大街8号绿城金融中心35楼会议室
联 系 人:迟晓峰
电 话:13361319277
电子邮件:/
招标代理机构:山东省鲁成招标有限公司
地 址: 济南市经十路10567号成城大厦24楼2403房间
联 系 人: 李老师
电 话: 17854155805
电子邮件: sdbiding@163.com
招标人或其招标代理机构主要负责人(项目负责人): (签名)
招标人或其招标代理机构: (盖章)
解决方案
联系我们
返回顶部