中國電信安全公司****年廣東供應鏈安全能力分中心工具服務采購項目詢比資格預審公告

1．采購條件

中國電信安全公司****年廣東供應鏈安全能力分中心工具服務采購項目已批準，采購人為天翼安全科技有限公司，建設資金來自采購人自籌，項目已具備采購條件，現進行資格預審，特邀請有意向的潛在申請人（以下簡稱申請人）提出資格預審申請。

2．項目概況

2.1?資格預審編號：ZJZB-****-****4。

2.2?項目概況：本項目采購中國電信安全公司****年?東供應鏈安全能?分中??具服務采購項?所需的檢測?具(軟件成分分析(SCA)?具2套、容器鏡像安全檢測?具1套、靜態(tài)應?程序安全測試(SAST)?具1套、動態(tài)應?程序安全測試(DAST)?具2套、基于?進制軟件基因的供應鏈安全檢測?具1套)的服務。

2.3 服務時間、服務地點：服務期限自合同簽訂之日起五年；服務地點：廣東為主要服務地點，支持全國服務。

2.4?項目性質：服務詢比，資格預審。

2.5?項目規(guī)模：具體詳見下表：

本項目將按照最新的《中國電信申請人不良行為管理規(guī)則》執(zhí)行申請人不良行為處理結果，請重點關注處理結果適用的申請人主體、被處理產品、處理范圍、禁限期、處理措施等關鍵內容，請務必登錄中國電信陽光采購網（https://caigou.chinatelecom.com.cn）查閱《中國電信申請人不良行為管理規(guī)則》。

2.6 技術要求：申請人提供測評服務的響應工具須滿足3.3款技術要求。

2.7 標包劃分情況（如有）：不涉及。

3．申請人資格要求

3.1申請人基本資格要求

3.1.1申請人應為中華人民共和國境內法律上和財務上獨立的法人或依法登記注冊的其他組織，合法運作并獨立于采購人和采購代理機構。法人下屬不具備法人資格的分支機構參與詢比申請的，應提供所屬法人針對本項目或覆蓋本項目的經營事項的有效授權。

3.1.2申請人的法定代表人或負責人為同一人或者存在控股、管理關系的不同申請人，不得參加同一標包響應或者未劃分標包的同一詢比項目響應。

3.1.3 申請人須提供自****年1月1日起至資格預審公告發(fā)布前一日的同類項目業(yè)績經驗，并滿足下述條件：

1、同類項目定義：“軟件成分分析”或“開源組件”或“代碼審計”或“軟件供應鏈安全”的項目業(yè)績；

2、業(yè)績累計金額大于等于**0萬元，且單個業(yè)績金額大于等于**萬元。

注：申請人須附相關合同關鍵頁（須包括合同標的內容、簽約時間、合同金額、合同簽章頁，如果提供的是框架合同，需提供對應框架合同結算的發(fā)票或訂單或結算單據，框架協(xié)議及其項下同一項目所有訂單的累計金額均視為同一個合同計取)的掃描件或者其他相關證明材料，業(yè)績時間以合同或框架訂單簽訂時間為準，業(yè)績金額按合同或框架下訂單金額計取，證明材料不全無法確定為相關業(yè)績的，不予認可。合同原件備查，如評審時需要核查，接到正式通知后，在規(guī)定時間內送達評審現場，否則業(yè)績不予認可。

3.1.4本次資格預審不接受聯合體資格預審申請。

3.1.5本次資格預審接受代理商資格預審申請。代理商申請資格預審的，應滿足下列要求：

1）本項目僅允許代理唯一制造商申請資格預審，且該制造商不得再自行申請資格預審或再委托其它申請人申請資格預審或再委托其它申請人申請資格預審。

2）提供響應產品制造商唯一授權函。

3.2申請人不得存在下列情形之一

（1）為采購人不具有獨立法人資格的附屬機構（單位）；

（2）被依法暫?；蛉∠稑?響應資格的；

（3）被責令停產停業(yè)、暫扣或者吊銷許可證、暫扣或者吊銷執(zhí)照；

（4）進入清算程序，或被宣告破產，或其他喪失履約能力的情形；

（5）在最近三年內（自****年7月1日起）被相關行業(yè)主管部門或司法機關認定騙取中標/成交、嚴重違約、重大工程質量或者安全問題的；

（6）在最近五年內（自****年7月1日起）被判處單位行賄罪，且行賄行為與采購活動相關的（以“中國裁判文書網”的生效判決為準）；

（7）在最近五年內（自****年7月1日起）被判處合同詐騙罪的（以“中國裁判文書網”的生效判決為準）；

（8）被最高人民法院在“信用中國”網站（www.creditchina.gov.cn）或各級信用信息共享平臺中列入失信被執(zhí)行人名單，已執(zhí)行完畢或不再執(zhí)行的除外；

（9）為本詢比項目提供過設計、編制技術規(guī)范和其他文件的咨詢服務；

（**）為本工程項目的相關監(jiān)理人，或者與本工程項目的相關監(jiān)理人存在隸屬關系或者其他利害關系；

（**）為本詢比項目的代建人；

（**）為本詢比項目的采購代理機構；

（**）與本詢比項目的監(jiān)理人或代建人或采購代理機構同為一個法定代表人；

（**）與本詢比項目的監(jiān)理人或代建人或采購代理機構存在控股或參股關系；

（**）被工商行政管理機關在國家企業(yè)信用信息公示系統(tǒng)中列入嚴重違法失信企業(yè)名單的；

（**）其他按照中國電信申請人不良行為處理結果及《中國電信申請人不良行為管理規(guī)則》的結果執(zhí)行規(guī)則，應對申請人及其響應產品品類在本項目中執(zhí)行禁止采購處理措施的；

（**）法律法規(guī)、資格預審文件限定的其他情形。

申請人是代理商的，本條所指的申請人也包括其所代理的制造商。

3.3申請人提供服務所使用的服務工具資格要求：

3.3.1申請人的五款工具均須在公安部第三研究所《供應鏈安全能力分中心安全分析工具推薦性目錄》范圍內。

3.3.2．申請人的服務工具應符合中國電信相關技術要求，并滿足以下關鍵技術要求：

1.軟件成分分析工具（SCA）技術要求：

（1）可支持主流編程語言包括但不限于Java、Java&Scr&ipt、C/C++、Python、PHP、Scala、Ruby、Golang、Objective-C、Swift、Rust、Lua、CSharp等的軟件源代碼的組件依賴檢測。

（2）可支持對源代碼壓縮文件、Web應用文件、代碼倉庫以及組件倉庫進行掃描檢測。

2．容器鏡像安全檢測工具技術要求：

（1）可檢測容器鏡像軟件成分，展示容器鏡像包含的軟件包及漏洞信息、漏洞風險、許可證風險等。

（2）能夠檢測容器鏡像中的敏感信息，包括密鑰信息（如GitLab/GitHub令牌、npm/pypi令牌等）、設備信息（如IP地址、MAC地址、URL）和個人身份信息（如身份證號、電子郵件、電話號碼、銀行卡號）。

3.靜態(tài)應用程序安全測試（SAST）工具技術要求：

（1）可對Java、C、C++、Python、PHP、Go、ArkTS等語言代碼進行代碼安全缺陷檢測，包括命令注入、代碼注入、SQL注入等類型安全缺陷。

（2）檢測規(guī)則集包括CERT、CWE、CWE/SANS TOP **、OWASP TOP** ****、OWASP TOP** ****、Android、PCI-DSS V4.0、MISRA C ****、MISRA C++ ****、AUTOSAR C++**、國家標準GB/T ****4-****、GB/T ****4、GB/T ****2-****、GJB ****-****、GJB ****-****等，知識庫包含****+檢測規(guī)則，并提供定期更新。

4.動態(tài)應用程序安全測試（DAST）工具技術要求

（1）可提供系統(tǒng)服務和基礎表單的弱口令檢測功能，包括SSH、FTP、RDP、SMB、MSSQL、Redis、MySQL、HTTP基礎表單、Web表單登錄、Zabbix、phpMyAdmin等。

（2）可提供應用組件漏洞掃描能力，包括Struts2、fastjson、ghostscript、imagemagick、Jackson-databind、Jackson、JBoss、Jenkins等組件。

5.基于二進制軟件基因的供應鏈安全檢測工具技術要求

（1）可提供全面的壓縮文件格式檢測能力，包括ZIP、AAR、JAR、WAR、EAR、RAR、GZ等。

（2）可提供多種固件格式的檢測能力，包括EXT2/3/4、CramFS、SquashFS、QCOW2、NTFS、HFS、APFS、DOS MBR、GPT、VirtualBox VDI、VMware虛擬磁盤、Android Sparse Filesystem、Android Sparse Image等固件格式。

備注：每種工具需要提對應的功能截圖或不超過2分鐘的視頻操作演示。若證明材料不全或無法播放則不予認可。

3.4法律法規(guī)規(guī)定的其他要求。

4．資格預審方法

4.1本次資格預審采用合格制，資格審查標準和內容詳見資格預審文件。

4.2通過資格審查的申請人均可參加本次資格預審范圍內項目的響應。

4.3獲取、提交資格預審申請文件或通過資格審查的申請人不足3家時，采用資格后審的形式重新發(fā)布本項目。

5．資格預審文件的獲取

5.1資格預審文件獲取時間: ****年7月 ** 日0時0分至****年7月 ** 日**時0分（北京時間，下同）。

5.2資格預審文件獲取方式：凡有意參與響應的潛在申請人，請按以下步驟順序進行操作，獲取資格預審文件：

5.2.1登錄“中國電信陽光采購網（https://caigou.chinatelecom.com.cn）” 后，通過“招投標-采購文件領取”模塊或通過“電子采購入口”跳轉中國電信電子采購系統(tǒng)，選擇本項目進行資格預審文件登記申領。未在系統(tǒng)注冊的潛在申請人須先進行注冊，注冊方法詳見本公告“7申請人注冊”。

5.3 資格預審文件費用：獲取本資格預審文件不收取費用。

6．資格預審申請文件的遞交

6.1資格預審申請文件遞交截止時間：****年8月 5 日9時**分。

6.2電子資格預審申請文件的遞交：登錄中國電信陽光采購網（https://caigou.chinatelecom.com.cn）后，通過“招投標-我的項目”模塊或通過“電子采購入口”跳轉中國電信電子采購系統(tǒng)，選擇本項目進行資格預審申請文件遞交，申請人應在資格預審申請文件遞交截止時間之前通過電子采購系統(tǒng)完成加密電子資格預審申請文件的上傳。申請人未在電子采購系統(tǒng)進行資格預審文件申領登記或電子資格預審申請文件未按照要求加密的，將無法通過電子采購系統(tǒng)提交電子資格預審申請文件。

7．申請人注冊

7.1中國電信陽光采購網注冊

未注冊過的潛在申請人，須通過中國電信陽光采購網（https://caigou.chinatelecom.com.cn）首頁“立即注冊”模塊完成注冊后，方可申領本項目資格預審文件。

7.2 CA證書辦理

參與電子采購的潛在申請人須提前辦理CA證書進行電子資格預審申請文件編制和資格預審申請，并確保CA證書在使用時有效。CA證書辦理流程詳見中國電信陽光采購網“操作指引-CA辦理”

7.3技術支撐聯系方式

服務熱線：**0-******** /**0-********

服務郵箱：zb_support@chinatelecom.cn（電子采購系統(tǒng)技術支撐）

ctsc@chinatelecom.cn（CA證書辦理技術支撐）

8．發(fā)布公告的媒介

本次資格預審公告同時且僅在中國招標投標公共服務平臺（http://www.cebpubservice.com）、中國電信陽光采購網（https://caigou.chinatelecom.com.cn）上發(fā)布，其他媒體轉載無效。

9．聯系及異議接收方式

9.1聯系方式

采購人：天翼安全科技有限公司

地 址：蘇州市相城區(qū)高鐵新城青龍港路**6號長三角國際研發(fā)社區(qū)啟動區(qū)7幢1層**1室

聯系人：高琪

電話：**0-********

通訊地址：北京市朝陽區(qū)朝陽門外大街**號

電子郵件：gaoq**@chinatelecom.cn

采購代理機構：中捷通信有限公司

地址：北京市西城區(qū)復興門南大街甲2號天銀大廈-A西座**層

項目聯系人：邢雪婷、仇艷茹、陳宇昕、蘇京、馮耿星、王少蕊、霍明林

電話：**********8

電子郵件：xingxueting.gyl@chinaccs.cn

開戶銀行：中信銀行廣州花園支行

賬號：******************4

9.2異議接收方式

登錄中國電信陽光采購網（https://caigou.chinatelecom.com.cn）后，通過“招投標-采購異議-提出異議”模塊提出。

采購代理機構：中捷通信有限公司

****年7月 ** 日