项目编号：DZCG202400025

为满足最新的监管要求，进一步提升我行对开源软件的风险管控水平，该项目借助专业咨询力量，科学、全面排查开源软件中存在的漏洞及风险，及时进行提示和修复，降低我行遭到相关攻击的可能性和敞口，同时完善开源软件风险管控机制，持续完善我行信息科技风险管理体系，现公开征集本行开源软件专项风险排查项目供应商，请有意者并具备以下要求的供应商前来我行报名。

一、采购内容及需求

（一）服务内容

1、开展信息系统开源软件扫描工作（供应商自带扫描工具或相关产品）。针对我行指定系统提供开源软件扫描服务，扫描内容至少包括开源组件信息、许可证、漏洞信息、版本信息、血缘关系等内容，并提供开源组件使用情况的检测报告。

2、开展开源软件风险评估工作。通过合规风险、安全风险、业务连续性风险等领域对开源软件实施风险排查，提供风险排查报告，报告应至少包含开源软件风险分类分级、处置措施、处置时限等内容，风险评估报告需在2024年6月底前完成。

3、提供开源软件的安全基线版本清单。针对本次扫描中发现使用频率较高的开源软件，就其对应版本及存在的风险进行重点分析和评估，提供推荐的基线版本清单，并明确进行版本升级的风险水平。

4、优化我行开源软件风险评估及风险监测指标库。依据相关监管要求，以及国内外标准、指南、最佳实践，设计、优化符合我行科技现状的开源软件风险评估及风险监测指标库，充分发挥二道防线风险管控职能。其中，风险评估指标用于开展全面或专项风险评估工作，需按我行现有的风险评估指标体系，明确风险点、风险发生概率、风险定级标准等内容及方法；风险监测指标用于开展定期监测，需明确各项指标统计口径及阈值边界，助力二道防线动态掌控我行开源软件的风险趋势。

5、优化我行开源软件风险排查机制。结合我行信息科技风险管理要求和开源软件风险排查工作中的痛点优化开源软件风险排查机制。通过机制提升，加强二道防线对信息系统风险的管控水平，持续建立并优化常态化的开源软件安全风险管控和应急处置体系。

（二）人员配置要求

1、项目负责人：需为合伙人/总监/总经理等同等级别管理人员，精通开源治理及网络安全领域，作为项目负责人负责过至少3次及以上商业银行的开源软件软件成分分析/治理/评估相关或者安全服务类项目，具有包括但不限制于PMP、CISD、CISP或CISSP等资质，应按需参与驻场指导，项目关键节点应驻场指导。

2、项目团队经理：需具有从事开源治理及网络安全领域6年及以上工作经验，能熟悉监管机构各类的制度要求，作为项目团队经理负责过至少3次及以上商业银行的开源软件软件成分分析/治理/评估相关或者安全服务类项目，具有包括但不限制于PMP、CISD、CISP或CISSP等资质，需全程驻场实施。

3、项目团队成员：需具有从事开源治理及网络安全领域3年及以上工作经验，参与过商业银行开源软件软件成分分析/治理/评估相关或者安全服务类项目，并具备一定的开源治理及网络安全相关的专业资质，具有包括但不限制于CISD、CISP或CISSP等资质，需全程驻场实施。

4、项目期间应保持项目人员稳定。

5、供应商应提供完整的项目组人员清单及其资质证明材料，并出具相应的承诺函。

（三）其他要求

1、供应商需承诺在收到成交结果通知书后，用于本项目的开源软件扫描软件和工具，需经过我行科技部门的软件技术及实施能力的测评，如测试不通过则取消成交资格。

2、开源软件扫描软件和工具，需具备一定的泛用性水平，包括但不限于对编程语言、制品类型、对接环境、检测环境等具有一定泛用性。

3、开源软件扫描软件和工具，需具有丰富的知识库储备，包括开源组件库，涵盖并能够及时分析各开源社区及代码托管平台信息；漏洞库，涵盖并能够及时跟踪分析监管提示、主流开源社区（包括但不限于CWE、NVD、CNNVD、CNVD、GitHub、Gitee等）及开源软件官网等发布的漏洞信息；许可证库，涵盖并能够及时跟踪分析常用开源许可证信息。

4、开源软件扫描软件和工具，需具备成熟的开源组件（含组件成分依赖关系）、开源漏洞风险、开源许可证风险等的汇总分析和数据溯源能力，支持对风险进行定级、分类，并给出处置的优先级及措施；

5、开源软件扫描软件和工具，需具备风险统计及分析检索能力，对开源组件名称、版本、漏洞风险等级、许可证风险、受影响项目等进行多维分析和检索，查看多维度视图，并生成excel、word、pdf等格式的开源资产清单及视图。

二、资质要求

1.必须在中华人民共和国境内有效注册，具有独立法人资格，遵守中国的法律、法规和其他相关规定；公司经营正常并存续3年（含）以上，具有健全的财务会计制度，近三年财务状况良好；

2.营业执照经营范围须包含咨询服务或技术服务等相关内容；

3.具有良好的职业道德记录和社会声誉，参加本次采购活动前三年内，在经营活动中没有重大违法记录，无利用不正当竞争手段骗取中标，无重大经济刑事案件，未处于被责令停业、财产被接管、冻结和破产状况，未被政府部门禁止参加投标（提供书面承诺保证，格式不限）；

4、具备增值税专用发票开票资质（提供书面承诺保证，格式不限）；

5、具备相关成熟服务经验，近三年具有工农中建交邮储总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级项目案例（需包含“开源”、“供应链”等字样）不少于3个；

6、本项目只接受原厂参与报名，不接受联合体，不允许转包或分包；

7、公司至少具有以下一个资质证书：软件能力成熟度、质量管理体系认证、技术服务管理体系、信息安全管理体系及其他相关专业资质认证证书；

8、公司需具有自研的开源软件扫描软件或工具，具有完全自主知识产权并提供承诺函，且部署和项目实施过程中遇到问题具备后台人员支持和快速解决的能力。

三、报名须知

申请人报名时，应提供以下材料：

1.公司信息及资质证明文件：“三证合一”营业执照、一般纳税人资格证明；

2.与本项目有关的技术资质文件等；

3.代表人的身份证明、公司法人委托授权书、公司开户行及账号信息，内容包括但不限于公司授权代表姓名、联系电话和邮箱等；

4.最近三年财务报表；

5.案例中标/成交通知书、合同或客户证明材料，并另以清单形式列明案例；

6.关于公司近三年无重大违法违规行为的书面承诺；

7.无不可抗力原因，报名供应商不得中途退出。报名供应商一年内累计二次及以上无不可抗力原因退出响应的，将列入本行灰名单级供应商，实施相应处罚。

8.报名供应商须仔细阅读供应商须知内容（详见附件1），如违反须知条款内容，将依据本行供应商管理相关制度实施相应的处罚。

以上请根据资质要求和报名须知进行材料的准备，所提供的复印件均需加盖单位公章，由法定代表人或被授权人签字，留存我行。并以电子文档形式发送至：zhangyy@shrcb.com、fuxh@shrcb.com；（邮件内容必须清楚写明：公司全称、被授权人姓名、联系方式、邮箱地址）。请根据附件2在我行供应商门户做好注册。

同时递送纸质材料，材料必须双面打印并装订成册，否则概不受理报名，后果将由报名方自行承担。现场报名地址：上海农商银行集中采购中心（上海市黄浦区中山东二路70号D栋7楼）。纸质报名材料可接受快递方式寄送。

报名截止时间：2024年3月21日15：00。

四、联系方式

联 系 人：张颖莹、傅晓华

联系电话：021-61899383、61898992

电子邮件：zhangyy@shrcb.com、fuxh@shrcb.com

地  址：上海农商银行集中采购中心（上海市黄浦区中山东二路70号D栋7楼）

邮  编：200002

上海农商银行集中采购中心

二〇二四年三月