静态代码扫描工具(SAST)采购项目供应商征集公告
根据我司研发安全管理工作需要,我司开展静态代码扫描工具(SAST)采购项目,现公开对静态代码扫描工具(SAST)采购项目进行供应商征集,有关事宜公告如下:
一、采购需求及资格要求
1.1. 采购需求:
为满足研发安全管理需要,我司拟采购国产静态代码扫描工具软件(含三年维保服务),扫描并发数约20并发,支持集群化部署。项目实施周期为签订合同后1个月。结算方式为分三笔支付,产品交付使用并初验通过后支付合同总金额50%;产品试运行满3个月且验收通过后支付合同总金额40%;自产品试运行满且验收通过之日起进入免费维保期,3年维保期满支付合同总金额10%。
1.2. 技术要求:
1.2.1 代码扫描功能
应支持常用编程语言的源代码扫描功能,包含不限于Java、C/C++、JavaScript、Python、Go,支持并发发起代码扫描任务,支持通过本地上传和代码仓库(Gitlab、gitee)拉取代码进行检测;规则库数量总数不少100条,包含SQL注入、命令注入、XSS、任意文件上传下载、XML注入、隐私信息泄露、路径操控、弱哈希加密;
1.2.2 插件与API
提供Jenkins插件和IDE插件扫描功能;
支持开放API接口,支持通过API接口发起代码扫描,查看结果,查看调用链、查看所有排队中和检测中的任务等功能;
1.2.3 扫描结果展示
应支持源代码出现漏洞时,漏洞的位置及代码路径,展示漏洞分类、漏洞安全等级、问题描述、样例代码、修复建议等参考信息,支持检测任务的报告导出;
1.2.4 项目管理功能
应支持自定义角色权限,支持项目的增删改查,系统记录关键操作、系统日志;
1.3. 人员资质要求:
现场维保支持人员应熟悉该软件,具备现场维保服务经验。
1.4. 服务要求:
供应商应提供与软件维保相关的一系列现场技术服务,及时提供软件版本、扫描规则、漏洞库等更新服务,按需参与扫描规则的评审并提供专业的建议。
1.5. 供应商资质要求:
1.5.1. 财务状态
企业成立3年以上,财务稳健,可稳定提供服务;
1.5.2. 案例
2021年至今,具备与六大国有银行(工行、农行、中行、建行、交行、邮储)以及12家股份制银行(中信、光大、招商、华夏、渤海、浦发、兴业、广发、民生、平安、恒丰、浙商)总行级及其科技子公司合作开展静态代码扫描工具项目成功案例。
二、报名要求
2.1在兴业银行开立对公账户,若中标本项目,则通过兴业银行对公账户结算该项目相关费用。
2.2充分理解我司服务需求并能够根据需求提供相应的服务。
2.3应具有良好的商业信誉和健全的财务会计制度。
2.4未被“信用中国”网列入“重大税收违法案件当事人名单”、未被“中国执行信息公开网”列入“失信被执行人名单”、未被“中国政府采购网”列入“政府采购严重违法失信行为信息记录名单”、未被“国家企业信用信息公示系统”列入网站“严重违法失信企业名单”、重大法律纠纷及不良事件、在参加本次采购活动前3年内未出现重大违法违规行为,近三年在我司无不良行为记录,不在兴业银行及兴业数金供应商禁用/退出期内。
2.5 签定供应商廉洁自律及保密承诺书
三、征集时间
本次供应商征集自即日起至2024年7月17日23:59止。
四、报名方式
采购部门联系人:吴女士,联系电话:0591-38308999-665021,联系时间:工作日9:00-12:00,13:30-17:30(其他时间请勿打扰)。 若有意向请将供应商资料于征集截止时间前提交至wush@cib.com.cn邮箱。
报名注意事项:
1. 提交的供应商资料内容包括如下三项:
材料1:兴业数金《静态代码扫描工具采购项目》供应商征集反馈材料-公司名称(全称)
材料2:兴业数金静态代码扫描工具采购项目信息收集表
材料3:供应商准人信息导入模板
以上三项材料填报模板详见附件,提交材料(除《附件1:承诺与声明》需要加盖公司盖章)无需加盖公司盖章。
2.提交资料所发送的邮件名称如下:《静态代码扫描工具采购项目》供应商征集反馈材料-公司名称(全称)。请仅发送一封邮件,拆分发送多封邮件视为无效应答。
3.提交供应商资料大小不超过20M。(提交的邮件附件总大小超过20M自动拦截视为无效应答,附件请勿通过第三方邮箱转存附件)
五、注意事项
1.能够完全满足我司采购需求、有合作意向、无不良行为记录的供应商均可报名。
2.本次市场调研不代表采购邀请或意向,仅为调研市场情况发起。经审查符合条件者,我司将会主动联系报名者;不符合条件者,将不会联系报名者,材料予以保密。
3.本次市场调研不收取供应商的任何费用。
4.供应商须对报名信息和资料的真实性负责。如提供虚假材料,将取消报名资格并列入我司供应商黑名单。
5.对于上述事项存在疑问的,请及时与我司联系。
解决方案
联系我们
