******银行安全检查软件货物采购项目(2025年应用安全工具建设项目)供应商征集公告
报名截止时间:2025年5月28日18:00
公告说明:******银行安全检查软件货物采购项目(2025年应用安全工具建设项目)供应商征集
征集需求描述:
一、项目名称
******银行安全检查软件货物采购项目(2025年应用安全工具建设项目)
二、项目背景
为强化科技开发安全保障能力,我行正积极推进应用安全体系建设。目前存在软件成份分析(SCA)工具缺失,现有静态安全测试(SAST)工具功能存在明显缺陷且运维保障不足等问题。现有工具在供应链安全管控及软件研发质量保障方面已无法满足实际需求,为此拟采购软件成份分析(SCA)和静态安全测试(SAST)两类专业安全工具,以完善应用安全检测体系,有效应对软件供应链风险并提升研发质量管控水平。
三、项目需求
拟通过采购国产应用安全工具,补充软件成份分析能力,替换境外静态安全测试产品,具体内容包括:
(一)产品功能要求
1.软件成份分析应具备以下主要功能:
(1)涵盖国内外主流漏洞数据库,如NVD、CNNVD等;
(2)多源分析支持,支持本地源码、远程代码库、制品包、容器镜像多种检测输入源;
(3)依赖解析与可视化,解析软件的直接、间接依赖,以列表或树形结构直观展示组件关系,辅助定位漏洞引入路径;
(4)许可证合规检测,自动识别依赖组件的许可证类型及条款内容;
(5)漏洞检测,基于漏洞数据库(支持增量/全量更新)匹配组件版本,输出漏洞编号、危害等级、影响范围等关键信息;
(6)生成标准化的软件物料清单文件,生成符合行业规范的软件物料清单,记录组件版本、许可证、漏洞等全量数据;
(7)漏洞修复建议,针对高危漏洞提供修复方案,包含版本升级路径、兼容性验证说明及潜在风险提示;
(8)双向关联检索,支持依赖组件与漏洞的快速双向查询,定位漏洞影响范围(所影响的组件、系统)或追溯组件关联风险。
2.静态安全测试应具备以下主要功能:
(1)预置规则库覆盖主流场景,内置主流开发语言(如Java/Python/JavaScript)的扫描规则库,涵盖代码安全漏洞、逻辑缺陷、性能缺陷、编码规范违规等场景;
(2)多维度的代码质量指标,支持从代码重复率、圈复杂度、问题数量等维度生成质量评分;
(3)缺陷精准定位与修复,展示问题代码片段上下文,关联具体规则说明并提供修复示例代码,降低修复成本;
(4)自定义规则扩展,支持用户自定义规则开发,提供规则模板、示例代码及技术文档,适配定制化代码规范需求;
(5)代码质量管控,支持按项目独立配置扫描规则组合、质量阈值(如重复率容忍值、复杂度上限)及质量门禁策略(如阻断高危代码缺陷等),通过配置文件或可视化界面实现策略的跨工程复用。
(二)技术要求
本次采购的应用安全工具应满足下列共性的技术要求:
1.国产化适配,供应商产品应符合我行关于数据库、中间件和操作系统等方面的相关适配改造要求;
2.国密改造,应符合我行国密改造要求;
3.自主知识产权,供应商应确保产品核心技术具备独立知识产权,不得使用开源软件进行二次封装(中标后需进行核验);
4.审计与日志管理,完整记录扫描任务、用户操作及系统管理日志,满足安全审计与问题溯源要求;
5.标准化接口与扩展,提供符合行业规范的应用接口,可与第三方系统集成;
6.安全与可靠性保障,基于角色的访问控制(RBAC)实现权限隔离,通过数据备份、故障快速恢复等机制保障系统可用性。
四、潜在供应商资格要求
(一)具有相应的民事行为能力;
(二)具有独立承担民事义务的能力;
(三)具有良好的商业信誉和健全的财务会计制度;
(四)具有信息技术服务管理体系认证(ISO20000)资质;
(五)具有信息安全管理体系认证(ISO27001)资质;
(六)具有软件能力成熟度模型认证(CMM/CMMI)3级或以上资质;
(七)具有下列资质之一:
1.中国网络安全审查认证和市场监管大数据中心(CCRC)认证的信息安全服务——软件安全开发服务3级或以上资质;
2.中国信息安全测评中心(CNITSEC)认证的服务——安全开发1级或以上资质;
(八)有依法缴纳税收和社会保障资金的良好记录;
(九)信用情况良好,在最近三年经营活动中,没有重大违法记录,无行政处罚,未被列为失信被执行人;
(十)最近三年内与我行无法律诉讼或违约纠纷;
(十一)未被我行列入不良类黑名单(限制期限已届满的除外);
(十二)法律、行政法规规定的其他条件。
五、潜在供应商需提交的材料
(一)提供公司三证合一后的营业执照;
(二)提供经合法审计机构出具的******银行出具的2025年1月以后的有效资信证明(复印件加盖投标单位公章);
(三)提供2025年1月以后任意3个月依法缴纳税收的凭证和2025年1月以后任意3个月社会保障资金的有效证明材料;
(四)提供参加本次采购活动前三年内,在经营活动中没有重大违法记录,提供“信用中国”网站截图,须提供查询记录截图并加盖公章;
(五)无行政处罚、未被列为失信被执行人、最近三年内与我行无法律诉讼或违约纠纷、未被我行列入不良类黑名单(限制期限已届满的除外),提供供应商承诺声明,格式自拟;
(六)提供信息技术服务管理体系认证(ISO20000)、信息安全管理体系认证(ISO27001)、软件能力成熟度模型认证(CMM/CMMI)3级或以上资质;
(七)中国网络安全审查认证和市场监管大数据中心(CCRC)认证的信息安全服务(软件安全开发服务3级或以上级别)或中国信息安全测评中心(CNITSEC)认证的服务(安全开发1级或以上级别)资质的佐证材料(须保证内容清晰、完整);
(八)提供公司联系人、电话、电子邮箱、地址等。
注:上述资料均需提供加盖公章的扫描件,并形成一个PDF或WORD格式文件。(形成多个文件的不符合要求)
六、注意事项
(一)本公告仅为征集供应商之用,非采购要约邀请,我行将在报名结束后2个工作日内,统一对供应商资格进行审查,符合要求的供应商可参加该项目后续采购活动;
(二)报名单位需自行承担报名准备资料所发生的费用;
(三)报名单位提交的所有资料仅供我行对其资格或资质审核之用,恕不退还;
(四)提供的所有证照须在有效期内。
七、提交方式及联系方式
(一)提交方式:
报名截止时间:2025年5月28日18:00
******银行集采平台(************有限公司”(注册步骤详见******:8080/cms/channel/help2/140.htm)。审核通过后,在线上传报名材料(报名步骤:登录系统—投标管理—征集公告查看—报名)。如已注册,可直接报名,报名后请自行查看审核信息。(注:供应商须对报名信息和资料的真实性负责,如提供虚假资料,并由此承担法律风险和赔偿责任。)
(二)联系方式
联系人:范先生
电 话:0851-88689708
邮 箱:******
平台技术支持电话:******7
******银行集中采购管理平台、贵州省招标投标公共服务平台。
******有限公司
2025年5月21日
附件:
******银行安全检查软件货物采购项目(2025年应用安全工具建设项目)供应商征集资格审查表.xlsx
