编号:ITPOC20230503
根据业务发展需要,我行拟面向社会开展开源治理工具的POC供应商征集工作。开源治理工具可作为信息科技项目的一种安全管理工具,高效分析项目开源组成和安全合规风险,提高应用安全。诚邀符合条件的供应商报名参加。
一、采购内容及要求
(一)采购内容
本次招标的开源治理工具功能包括但不限于:
1.支持对主流开发语言源代码、二进制文件或配置文件的扫描识别,如Java、C、C++、Python、JavaScript、PHP、.net、Go/Golang、Swift/OC、Scala、Ruby、Perl、R等。
2.支持主流格式部署包识别检测,如jar、war、rar、tar、tar.gz、zip等。
3.支持常用的依赖包管理工具,如Maven、NPM、Gradle、Yarn、Pypi等。
4.具有丰富的开源知识库,包括开源组件库,涵盖并能及时跟踪分析各开源社区及代码托管平台信息;漏洞库,涵盖并能及时跟踪分析NVD、CNNVD、CVE等漏洞平台库信息;许可证库,涵盖并能及时跟踪分析常用开源许可证信息。各类知识库支持本地部署,离线和全量/新增更新。
5.具备成熟的开源组件分析能力,组件分析包括组件名称、版本号、所属语言、发布厂商、许可证、组件是否被篡改、风险等级、社区信息、最新/推荐发布版本、所在文件位置、组件多层依赖等。
6.具备成熟的开源漏洞分析能力,漏洞分析包括漏洞名称、编号、具体描述、风险等级、发布时间、利用难度、影响的组件和项目、解决方案等。
7.具备成熟的开源许可证分析能力,许可证分析包括许可证名称、具体描述、影响的组件和项目、使用条件及限制、风险说明及解决方案等。
8.具备成熟的开源组件依赖分析能力,能够识别直接/间接引用的组件、组件来源、引用位置等。
9.支持生成不同格式的开源检测分析报告,如Word、Excel等。
10.支持生成开源资产清单和视图,资产维度包括全局、项目、组织架构等维度。
11.支持检索开源影响范围,可根据开源组件、漏洞、许可证信息,从全局检索出受影响的项目、开源组件等。
12.具备风险告警能力,对检测出的漏洞、许可证等风险,支持通过我行邮件、伴办等渠道,对指定人员进行告警通知。
13.具备开源审计功能,对检出的开源组件、漏洞、许可证等,支持自动和人工标记风险等级、黑/白名单、安全基线等。
14.支持自定义漏洞/许可证等风险等级、组件/许可证黑白名单和安全基线版本等安全策略。在开源技术引用时,可根据安全策略,设置自动阻断机制和人员审核机制。
15.支持从Gitee、中央仓库系统、版本管理平台获取代码发起检测任务,也可以从本地发起检测任务。支持检测任务定期周期性发起,支持全量、新增检测方式。
16.支持Jenkins、Coding等DevOps集成,可提供相关插件和流水线脚本。并支持定制化开发。
17.提供二次开发接口,支持构建本地私有知识库,包括开源资产库、开源组件/许可证可信库、开源组件/许可证黑名单库等。
(二)技术要求
1.支持本地化部署。
2.支持海光和鲲鹏服务器、麒麟操作系统等安全备份部署环境。
3.基于B/S架构,支持多用户同时使用浏览器访问。
二、资质要求
1.中华人民共和国境内合法注册的独立法人,公司经营正常并存续3年(含)以上,具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好,经营活动中没有重大违法记录;
2.有依法缴纳税收和社会保障资金的良好记录,近三年无重大违法违规行为;
3.近五年具有工农中建交邮储总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级同类项目应用案例(需包含“开源”、“供应链”、“安全”等字样)不少于3个;
4.同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名;
5.本项目不接受联合体投标,不接受挂靠、借用资质投标,不允许转包或分包;
6.公司至少具有以下一个资质证书:软件能力成熟度、质量管理体系认证、技术服务管理体系、信息安全管理体系及其他相关专业资质认证证书。
三、报名须知
申请人报名时,应提供以下材料:
1.公司信息及资质证明文件:“三证合一”营业执照、一般纳税人资格证明;
2.与本项目有关的技术资质文件等;
3.代表人的身份证明、公司法人委托授权书、公司开户行及账号信息,内容包括但不限于公司授权代表姓名、联系电话和邮箱等;
4.最近三年财务报表;
5.案例中标/成交通知书、合同或客户证明材料,并另以清单形式列明案例;
6.关于公司近三年无重大违法违规行为的书面承诺;
7.我行将根据报名情况开展资格预审。
8.无不可抗力原因,报名供应商不得中途退出(包括报名后不参加POC测试、参加POC测试后不参与商务谈判等)。报名供应商一年内累计二次及以上无不可抗力原因退出响应的,将列入本行灰名单级供应商,实施相应处罚。
9.报名供应商须仔细阅读供应商须知内容(详见附件1),如违反须知条款内容,将依据本行供应商管理相关制度实施相应处罚。
以上请根据资质要求和报名须知进行材料的准备,所提供的复印件均需加盖单位公章,由法定代表人或被授权人签字,留存我行。并以电子文档形式发送至:fanweiwei@shrcb.com、fuxh@shrcb.com;(邮件内容必须清楚写明:公司全称、被授权人姓名、联系方式、邮箱地址),同时一并附上保证金回单。
同时快递递交纸质材料,材料必须双面打印并装订成册,否则概不受理报名,后果将由报名方自行承担。报名材料邮寄地址:上海农商银行集中采购中心(上海市黄浦区中山东二路70号D栋7楼)。
报名截止时间:2023年6月26日15:00。
四、递交保证金账户信息
本次报名时需缴纳保证金叁万元,请供应商在汇款时务必注明所参加项目的编号ITPOC20230503,否则,因款项用途不明导致无效等后果由供应商自行承担。具体操作详见附件:2《上海农商银行投标保证金缴纳和退还操作须知》。
户名:上海农村商业银行股份有限公司
账号:50131000723476666
开户行:上海农商银行营业部
五、联系方式
联 系 人:樊魏伟、傅晓华
联系电话:021-60110714、61898992
电子邮件:fanweiwei@shrcb.com、fuxh@shrcb.com
地 址:上海农商银行集中采购中心(上海市黄浦区中山东二路70号D栋7楼)
邮 编:200002
上海农商银行集中采购中心
二〇二三年六月
