中国电信安全公司2025年广东供应链安全能力分中心工具服务采购项目询比资格预审公告

1.采购条件

中国电信安全公司2025年广东供应链安全能力分中心工具服务采购项目已批准,采购人为天翼安全科技有限公司,建设资金来自采购人自筹,项目已具备采购条件,现进行资格预审,特邀请有意向的潜在申请人(以下简称申请人)提出资格预审申请。

2.项目概况

2.1 资格预审编号:ZJZB-2025-16964。

2.2 项目概况:本项目采购中国电信安全公司2025年广东供应链安全能力分中心工具服务采购项目所需的检测工具(软件成分分析(SCA)工具2套、容器镜像安全检测工具1套、静态应用程序安全测试(SAST)工具1套、动态应用程序安全测试(DAST)工具2套、基于二进制软件基因的供应链安全检测工具1套)的服务。

2.3 服务时间、服务地点:服务期限自合同签订之日起五年;服务地点:广东为主要服务地点,支持全国服务。

2.4 项目性质:服务询比,资格预审。

2.5 项目规模:具体详见下表:

序号	采购内容	服务内容	服务期限	服务地点
1	广东供应链分中心 测评工具及相关服务	详见3.3款 关键技术要求	服务期限自合同签订之日起五年	广东为主,支持全国服务

本项目将按照最新的《中国电信申请人不良行为管理规则》执行申请人不良行为处理结果,请重点关注处理结果适用的申请人主体、被处理产品、处理范围、禁限期、处理措施等关键内容,请务必登录查阅《中国电信申请人不良行为管理规则》。

2.6 技术要求:申请人提供测评服务的响应工具须满足3.3款技术要求。

2.7 标包划分情况(如有):不涉及。

3.申请人资格要求

3.1申请人基本资格要求

3.1.1申请人应为中华人民共和国境内法律上和财务上独立的法人或依法登记注册的其他组织,合法运作并独立于采购人和采购代理机构。法人下属不具备法人资格的分支机构参与询比申请的,应提供所属法人针对本项目或覆盖本项目的经营事项的有效授权。

3.1.2申请人的法定代表人或负责人为同一人或者存在控股、管理关系的不同申请人,不得参加同一标包响应或者未划分标包的同一询比项目响应。

3.1.3 申请人须提供自2022年1月1日起至资格预审公告发布前一日的同类项目业绩经验,并满足下述条件:

1、同类项目定义:“软件成分分析”或“开源组件”或“代码审计”或“软件供应链安全”的项目业绩;

2、业绩累计金额大于等于200万元,且单个业绩金额大于等于50万元。

注:申请人须附相关合同关键页(须包括合同标的内容、签约时间、合同金额、合同签章页,如果提供的是框架合同,需提供对应框架合同结算的发票或订单或结算单据,框架协议及其项下同一项目所有订单的累计金额均视为同一个合同计取)的扫描件或者其他相关证明材料,业绩时间以合同或框架订单签订时间为准,业绩金额按合同或框架下订单金额计取,证明材料不全无法确定为相关业绩的,不予认可。合同原件备查,如评审时需要核查,接到正式通知后,在规定时间内送达评审现场,否则业绩不予认可。

3.1.4本次资格预审不接受联合体资格预审申请。

3.1.5本次资格预审接受代理商资格预审申请。代理商申请资格预审的,应满足下列要求:

1)本项目仅允许代理唯一制造商申请资格预审,且该制造商不得再自行申请资格预审或再委托其它申请人申请资格预审或再委托其它申请人请资格预审。

2)提供响应产品制造商唯一授权函。

3.2申请人不得存在下列情形之一

(1)为采购人不具有独立法人资格的附属机构(单位);
(2)被依法暂停或取消投标/响应资格的;
(3)被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照;
(4)进入清算程序,或被宣告破产,或其他丧失履约能力的情形;
(5)在最近三年内(自2022年7月1日起)被相关行业主管部门或司法机关认定骗取中标/成交、严重违约、重大工程质量或者安全问题的;

(6)在最近五年内(自2020年7月1日起)被判处单位行贿罪,且行贿行为与采购活动相关的(以“中国裁判文书网”的生效判决为准);

(7)在最近五年内(自2020年7月1日起)被判处合同诈骗罪的(以“中国裁判文书网”的生效判决为准);

(8)被最高人民法院在“信用中国”网站(www.creditchina.gov.cn)或各级信用信息共享平台中列入失信被执行人名单,已执行完毕或不再执行的除外;

(9)为本询比项目提供过设计、编制技术规范和其他文件的咨询服务;

(10)为本工程项目的相关监理人,或者与本工程项目的相关监理人存在隶属关系或者其他利害关系;

(11)为本询比项目的代建人;

(12)为本询比项目的采购代理机构;

(13)与本询比项目的监理人或代建人或采购代理机构同为一个法定代表人;

(14)与本询比项目的监理人或代建人或采购代理机构存在控股或参股关系;

(15)被工商行政管理机关在国家企业信用信息公示系统中列入严重违法失信企业名单的;

(16)其他按照中国电信申请人不良行为处理结果及《中国电信申请人不良行为管理规则》的结果执行规则,应对申请人及其响应产品品类在本项目中执行禁止采购处理措施的;

(17)法律法规、资格预审文件限定的其他情形。

申请人是代理商的,本条所指的申请人也包括其所代理的制造商。

3.3申请人提供服务所使用的服务工具资格要求:

3.3.1申请人的五款工具均须在公安部第三研究所《供应链安全能力分中心安全分析工具推荐性目录》范围内。

3.3.2.申请人的服务工具应符合中国电信相关技术要求,并满足以下关键技术要求:

1.软件成分分析工具(SCA)技术要求:

(1)可支持主流编程语言包括但不限于Java、Java&Scr&ipt、C/C++、Python、PHP、Scala、Ruby、Golang、Objective-C、Swift、Rust、Lua、CSharp等的软件源代码的组件依赖检测。

(2)可支持对源代码压缩文件、Web应用文件、代码仓库以及组件仓库进行扫描检测。

2.容器镜像安全检测工具技术要求:

(1)可检测容器镜像软件成分,展示容器镜像包含的软件包及漏洞信息、漏洞风险、许可证风险等。

(2)能够检测容器镜像中的敏感信息,包括密钥信息(如GitLab/GitHub令牌、npm/pypi令牌等)、设备信息(如IP地址、MAC地址、URL)和个人身份信息(如身份证号、电子邮件、电话号码、银行卡号)。

3.静态应用程序安全测试(SAST)工具技术要求:

(1)可对Java、C、C++、Python、PHP、Go、ArkTS等语言代码进行代码安全缺陷检测,包括命令注入、代码注入、SQL注入等类型安全缺陷。

(2)检测规则集包括CERT、CWE、CWE/SANS TOP 25、OWASP TOP10 2021、OWASP TOP10 2017、Android、PCI-DSS V4.0、MISRA C 2012、MISC++ 2008、AUTOSAR C++14、国家标准GB/T 34944-2017、GB/T 38674、GB/T 39412-2020、GJB 8114-2013、GJB 5369-2005等,知识库包含5000+检测规则,并提供定期更新。

4.动态应用程序安全测试(DAST)工具技术要求

(1)可提供系统服务和基础表单的弱口令检测功能,包括SSH、FTP、RDP、SMB、MSSQL、Redis、MySQL、HTTP基础表单、Web表单登录、Zabbix、phpMyAdmin等。

(2)可提供应用组件漏洞扫描能力,包括Struts2、fastjson、ghostscript、imagemagick、Jackson-databind、Jackson、JBoss、Jenkins等组件。

5.基于二进制软件基因的供应链安全检测工具技术要求(1)可提供全面的压缩文件格式检测能力,包括ZIP、AAR、JAR、WAR、EAR、RAR、GZ等。

(2)可提供多种固件格式的检测能力,包括EXT2/3/4、CramFS、SquashFS、QCOW2、NTFS、HFS、APFS、DOS MBR、GPT、VirtualBoxVDI、VMware虚拟磁盘、Android Sparse Filesystem、Android Sparse Image等固件格式。

备注:每种工具需要提对应的功能截图或不超过2分钟的视频操作演示。若证明材料不全或无法播放则不予认可。

3.4法律法规规定的其他要求。

4.资格预审方法

4.1本次资格预审采用合格制,资格审查标准和内容详见资格预审文件。

4.2通过资格审查的申请人均可参加本次资格预审范围内项目的响应。

4.3获取、提交资格预审申请文件或通过资格审查的申请人不足3家时,采用资格后审的形式重新发布本项目。