中国邮政技术中台安全能力中心
组件安全检测子系统投标人相关资质采前公示公告
各潜在投标人:
为进一步全面提升中国邮政技术中台安全能力,强化组件安全检测关键能力,中国邮政集团有限公司(以下称“中国邮政”)已批准中国邮政技术中台安全能力中心工程建设。中国邮政技术中台安全能力中心组件安全检测子系统项目已具备招标条件,现公开招标前就资质认证要求、产品核心技术功能指标要求、团队核心成员资质业绩要求关键资质进行公示,如果潜在投标人对公示关键资质要求存疑,可在公示起止时间内,通过公示受理渠道反馈。
对应章节 | 类型 | 产品核心技术功能指标 |
4.1 | 评分项 | 支持主流编程语言的开源组件识别,包括: (1)Java (2)Kotlin (3)JavaScript (4)Python (5)Swift (6)Objective-C (7)Golang (8)C/C++ (9).NET (10)PHP (11)Scala (12)Ruby (13)Perl (14)Groovy (15)RUST |
4.2 | 评分项 | 支持本地上传文件进行开源组件识别,文件类型包含以下类型: (1)源码包格式类型,包括: 1.zip 2.tar 3.tar.gz 4.rar 等。 (2)制品包格式类型:包括: 1.war 2.jar 3.apk 4.ear 5.egg 6.aar 7.nupkg 8.whl 9.dll 10.ocx 11.sys 12.exe 13.elf 14.iso 15.bin 16.h 17.rpm 18.so 19.deb 20.dmg 21.pkg 22.ipa 23.pyc 24.Windows installers CAB Installer(.cab) 25.Windows installers MSI Installer 26.Windows Self Extracting EXE |
4.3 | 评分项 | 支持对常用依赖包管理器进行依赖检测,包括: (1)Maven(适用于Java/Kotlin语言) (2)Gradle(适用于/Kotlin语言) (3)NPM(适用于JavaScript语言) (4)Yarn(适用于JavaScript语言) (5)PyPi(适用于Python语言) (6)Pipenv(适用于Python语言) (7)Conda(适用于Python语言) (8)Composer(适用于PHP语言) (9)Cocoapods(适用于Swift或Objective-C语言) (10)Dep(适用于GO语言) (11)Go Modules(适用于GO语言) (12)Conan(适用于C/C++语言) (13)Nuget(适用于.NET语言) (14)Pear(适用于PHP语言) (15)SBT(适用于Scala、Java语言) (16)RubyGems(适用于Ruby语言) (17)Bundle(适用于Ruby语言) (18)Cpanm(适用于Perl语言) (19)Grape(适用于Groovy语言) (20)Cargo(适用于RUST语言) |
4.4 | 废标项 | 基于B/S架构,支持多用户同时使用浏览器访问,支持多个检测任务并发执行,并发数量须无限制。 |
4.5 | 废标项 | 支持两级管理模式(支持按需定制化开发,例如项目、应用两级管理模式),项目可设置项目成员以及权限,可指定项目的重要等级、项目类型、项目经理,如互联网项目或内网项目。项目、应用创建数量须无限制。 |
4.15 | 评分项 | 能够提供开源组件的最新发布版本、与当前版本差异最小的无漏洞版本、其他无漏洞的可用版本,并提供这些版本的详细信息(至少包括组件名称、版本号、发布时间)。 |
4.17 | 评分项 | 提供全量的本地化知识库,包括开源项目信息、版本信息、开源协议、漏洞库信息。其中: (1)收录开源项目数不低于700W; (2)组件版本收录数量不低于1.3亿条; (3)收录漏洞数量不低于35万条; (4)收录开源协议类型数量不低于2000个。 |
4.20 | 评分项 | 支持开源组件的检测结果导出功能,报告内容包括开源组件信息、漏洞信息、组件来源、建议版本、漏洞利用难度评级。导出格式支持Word、Excel、PDF、软件物料清单(SBOM)标准格式文件(SPDX、CycloneDX),导出的检测报告支持批量下载。 |
4.24 | 评分项 | 支持平台报告在本地化的上传核验,在平台中判断报告是否被篡改,防止造假。 |
4.27 | 评分项 | 支持根据管控策略对组件进行管控预警,可展示项目名称、应用名称、组件名称、组件版本、组件等级、管控状态,预警通知可通过邮件或站内信发送。 |
4.32 | 评分项 | 支持源码分析功能,通过上传源码包,对其文件进行有效代码比对,分析当前文件的代码行数、文件格式分布、匹配度信息,判断文件是否为自研,检测源码自研率。 |
4.33 | 评分项 | 支持对源代码敏感信息的分析,至少包括:URL、IP、邮箱、身份证号、银行卡号。 |
4.39 | 评分项 | 对外提供二次开发接口(包括支持外部系统添加用户、发起检测任务、获取任务状态、获取组件列表、获取漏洞列表以及离线报告生成、查询、下载功能)。乙方提供接口文档。 |
4.40 | 评分项 | 应支持LDAP(包括389 Directory Server)对接。 |
4.41 | 评分项 | 支持系统内置用户和外接用户(含LDAP)统筹安全管理,可以统一展示用户列表、详情、修改用户信息、冻结或解冻用户。内置用户支持根据用户模版批量导入用户。 |
4.43 | 评分项 | 支持对同一组件在不同环境下组件同源识别,通过文件二进制信息进行分类,防止用户对同组件的识别和检测误报。 |
4.44 | 评分项 | 支持检测二进制文件信息,包括:Windows PE文件中的版本信息、文件头信息、导入表信息、导出函数信息;Linux ELF文件中的编译信息、文件头信息。以上提供截图及演示录屏。 |
4.45 | 评分项 | 支持对二进制文件的编译选项进分析检测,包括: (1)支持检测Windows PE文件中的地址空间布局随机化 (2)支持检测Authenticode代码签名 (3)支持检测数据执行保护 (4)支持检测强制完整性检查 (5)支持检测安全结构化异常处理选项的检测 (6)支持检测支持对Linux ELF文件中的控制 (7)支持检测堆栈保护 (8)支持检测强化保护 (9)支持检测动态链接库 (10)支持检测非可执行堆栈 (11)支持检测只读重定位选项的检测 (12)支持检测支持对MacOS Macho文件中的加密 (13)支持检测强化保护 (14)支持检测非可执行堆限制 (15)支持检测自动引用计数选项的检测 |
4.46 | 评分项 | 支持对软件许可在不同使用场景下的合规风险等级分析,可基于内部使用、分发代码、专利授权进行风险自动判断。 |
2025年7月14日至16日
项目公示受理邮箱:security@cpit.chinapost.com.cn
项目公示受理电话:010-58853063 / 18910656481
备注:如需提交详细反馈信息的,请填写附件1加盖公章后将扫描件发送公示受理邮箱。
附件1:公示存疑详细情况反馈表
中国邮政技术中台安全能力中心组件安全检测子系统投标人相关资质采前公示存疑详细情况反馈表 | |
厂商名称: | 联系人: |
联系人电话: | 联系人邮箱: |
详细情况描述:
| |
日期 (此处应加盖公章) | |