本招標(biāo)項(xiàng)目名稱為：烏海能源軟件供應(yīng)鏈檢測平臺建設(shè)公開招標(biāo)， 本項(xiàng)目已具備招標(biāo)條件，現(xiàn)對該項(xiàng)目進(jìn)行國內(nèi)資格后審公開招標(biāo)。

2.項(xiàng)目概況與招標(biāo)范圍

    2.1 項(xiàng)目概況、招標(biāo)范圍及標(biāo)段（包）劃分：2.1.1 項(xiàng)目概況: 烏海能源有限責(zé)任公司擬通過本項(xiàng)目提出軟件供應(yīng)鏈建設(shè)思路，通過建立軟件供應(yīng)鏈安全管理規(guī)范制度，并配合供應(yīng)鏈安全治理工具進(jìn)行體系落地，有效的保障軟件供應(yīng)鏈生命周期的各個環(huán)節(jié)，實(shí)現(xiàn)不同業(yè)務(wù)場景下的最佳實(shí)踐。

2.1.2 招標(biāo)范圍及標(biāo)段（包）劃分：共劃分為一個標(biāo)段。主要包括4個應(yīng)用系統(tǒng)和1項(xiàng)定制化服務(wù),滿足管理者在不同場景的使用需要：

1）靜態(tài)應(yīng)用安全測試（SAST）

依據(jù) 對于軟件供應(yīng)鏈安全工作的要求以及烏海能源公司軟件供應(yīng)鏈安全平臺靜態(tài)應(yīng)用安全測試（SAST）系統(tǒng)建設(shè)的要求，靜態(tài)應(yīng)用安全測試（SAST）系統(tǒng)是基于軟件安全開發(fā)生命周期管理的源代碼安全檢測系統(tǒng)。在不改變當(dāng)前研發(fā)流程和組織架構(gòu)的前提下，實(shí)現(xiàn)開發(fā)階段的代碼安全漏洞生命周期閉環(huán)管理，實(shí)現(xiàn)源代碼安全的自動化檢測，漏洞周期管理，安全質(zhì)量分析，實(shí)現(xiàn)源代碼安全的可視化管理。

2）軟件成分分析系統(tǒng)(SCA）

依據(jù) 對于軟件供應(yīng)鏈安全工作的要求以及烏海能源公司軟件供應(yīng)鏈安全平臺軟件成分分析系統(tǒng)(SCA）建設(shè)的要求，軟件成分分析系統(tǒng)(SCA）需要在項(xiàng)目建設(shè)階段，通過分析技術(shù)和指紋識別技術(shù)實(shí)現(xiàn)快速的軟件成分安全檢測，并提供彈性私有云部署模式建立一站式服務(wù)解決方案，對項(xiàng)目安全進(jìn)行高度可視化、可持續(xù)化管理。將風(fēng)險發(fā)現(xiàn)能力貫穿于項(xiàng)目開發(fā)周期中，將軟件成分風(fēng)險在業(yè)務(wù)系統(tǒng)上線前被提前發(fā)現(xiàn)并及時得到解決。

3）交互式應(yīng)用安全檢測系統(tǒng)（IAST）

依據(jù) 對于軟件供應(yīng)鏈安全工作的要求以及烏海能源公司軟件供應(yīng)鏈安全平臺交互式應(yīng)用安全檢測（IAST）系統(tǒng)建設(shè)的要求，交互式應(yīng)用安全檢測（IAST）系統(tǒng)需要在項(xiàng)目測試階段，使用基于請求和基于代碼數(shù)據(jù)流兩種技術(shù)融合的IAST技術(shù)架構(gòu)。該技術(shù)融合SAST和DAST的技術(shù)特點(diǎn)。在測試階段無縫集成，既可高準(zhǔn)確性的檢測應(yīng)用自身安全風(fēng)險，也可檢測第三方組件及其漏洞，具備實(shí)時告警響應(yīng)能力，是應(yīng)用系統(tǒng)上線前漏洞檢測的主要技術(shù)平臺。

4）全方位資產(chǎn)監(jiān)管及風(fēng)險掃描（軟件）

依據(jù) 對于軟件供應(yīng)鏈安全工作的要求以及烏海能源公司軟件供應(yīng)鏈安全平臺全方位資產(chǎn)監(jiān)管及風(fēng)險掃描（軟件）系統(tǒng)建設(shè)的要求，全方位資產(chǎn)監(jiān)管及風(fēng)險掃描（軟件）系統(tǒng)需要從攻擊者視角出發(fā)，發(fā)現(xiàn)企業(yè)資產(chǎn)暴露面，通過漏洞風(fēng)險、高危服務(wù)、外部威脅情報分析等多維度持續(xù)監(jiān)控，幫助烏海能源公司高效地應(yīng)對最新安全風(fēng)險，實(shí)時捕捉企業(yè)風(fēng)險并及時通過日報、郵件等方式告知相關(guān)人員，實(shí)現(xiàn)資產(chǎn)透明化管控、全面資產(chǎn)安全風(fēng)險量化，建立常態(tài)化安全運(yùn)營能力。

5）針對現(xiàn)有軟件供應(yīng)鏈體系定制服務(wù)

安全功能測試、業(yè)務(wù)應(yīng)用安全檢測培訓(xùn)等安全測試流程規(guī)范；制定上線前安全檢查卡點(diǎn)及相應(yīng)的安全評審要求；

制定最佳安全實(shí)踐的編碼規(guī)范，定義安全編碼要求和標(biāo)準(zhǔn)；軟件安全開發(fā)知識培訓(xùn)。

針對公司已建設(shè)的38個業(yè)務(wù)系統(tǒng)進(jìn)行漏洞掃描、代碼審計(jì)、滲透測試服務(wù)并輸出相關(guān)報告。驗(yàn)收后1年內(nèi)，廠商須對新增業(yè)務(wù)系統(tǒng)的漏洞掃描、代碼審計(jì)、滲透測試報告繼續(xù)履行廠商認(rèn)證服務(wù)（含蓋章）。

2.1.3 交貨期：合同（或技術(shù)協(xié)議）簽訂后170日內(nèi)。

2.1.4 交貨地點(diǎn)：內(nèi)蒙古烏海市招標(biāo)人指定地點(diǎn)。

    2.2 其他：/

3.投標(biāo)人資格要求

    3.1 資質(zhì)條件和業(yè)績要求：

    【1】資質(zhì)要求：投標(biāo)人須為依法注冊的獨(dú)立法人或其他組織，須提供有效的證明文件。

    【2】財(cái)務(wù)要求：/

    【3】業(yè)績要求：2019年8月至投標(biāo)截止日（以合同簽訂時間為準(zhǔn)），投標(biāo)人須至少具有網(wǎng)絡(luò)安全軟件采購或網(wǎng)絡(luò)安全態(tài)勢感知平臺（或網(wǎng)絡(luò)安全平臺或網(wǎng)絡(luò)安全系統(tǒng)）建設(shè)或軟件供應(yīng)鏈安全監(jiān)測平臺建設(shè)業(yè)績1份。投標(biāo)人須提供能證明本次招標(biāo)業(yè)績要求的合同掃描件，合同掃描件須至少包含：合同買賣雙方蓋章頁、合同簽訂時間和業(yè)績要求中的關(guān)鍵信息頁。

    【4】信譽(yù)要求：/

    【5】項(xiàng)目負(fù)責(zé)人的資格要求：/

    【6】其他主要人員要求：/

    【7】設(shè)備要求：/

    【8】其他要求：/

    3.2 本項(xiàng)目不接受聯(lián)合體投標(biāo)。

4.招標(biāo)文件的獲取

    4.1  招標(biāo)文件開始購買時間2024-08-27 16:00:00，招標(biāo)文件購買截止時間2024-09-02 16:00:00。