根据上海广播电视台、上海文化广播影视集团有限公司(以下简称SMG)关于技术设备、基建工程和服务采购的有关规定,SMG计划对软件代码安全审计框架服务商进行遴选。现将相关信息公布如下,邀请具有相关资质的服务商参与投标。
一、项目内容和要求:
1、项目名称:软件代码安全审计框架服务商遴选
2、服务周期:至2027年12月31日
3、服务内容和要求:
序号 |
服务名称 |
描述 |
交付物 |
备注 |
1 |
软件供应链产品开源框架及组件技术分析 |
对相关的资源包开展技术分析,通过开展软件成分安全技术分析、基于组件分析、安全合规等测试,用于分析软件产品中开源组件安全风险、组件漏洞风险等。 |
《软件供应链产品开源框架及组件技术分析报告》 |
|
2 |
源代码分析 |
采用工具和人工审核的方式,对客户的源代码进行安全检测,评估并发现存在的源码层级的安全漏洞及逻辑安全风险,协助客户做代码整改。 |
《源代码检测分析报告》 |
请按代码数量,分三个阶梯报价: 1、小于等于30万行代码; 2、30至100万行代码; 3、大于等于100万行代码。 |
3 |
上线前检测服务 |
漏扫:利用漏洞检测工具对检测目标进行常规扫描,只针对扫描器发现的高危漏洞进行验证。 基线核查:从网络设备、主机系统、中间件和数据库等方面进行安全配置检查,提供系统安全配置的规范性和安全性。 渗透测试:模拟黑客的攻击方法,在客户的授权和监督下对客户的系统和网络进行非破坏性质的攻击性测试。 |
《新上线系统的安全检测报告》(含整改建议) |
|
4. 目标:遴选贰家框架服务商
5. 评分办法:软件代码安全审计框架服务商遴选评分办法.docx
6. 技术联系人:陈老师,13916708664
二、合格投标人资格要求:
1. 在中华人民共和国正式注册并通过年检的独立企业法人;
2. 投标人需具备至少三种下述所列资质:(1)ISO9001质量管理体系认证证书;(2)ISO27001信息安全管理体系认证资质认证;(3)数据安全服务能力评定资格证书;(4)信息安全服务资质认证证书(CCRC);
3. 投标人须提供三种或以上供应链安全测评工具的软件著作权证书或工具授权文件,如软件成分分析工具、基于二进制软件基因分析工具、静态应用程序安全测试工具、动态应用程序安全测试工具、容器镜像安全测试工具等;
4. 投标人具有软件安全测试能力或者软件供应链安全评测能力,并出具具有独立的权威的第三方授权报告;
5. 投标人具有代码审计类似项目业绩(须附证明文件);
6. 具有完善的服务制度和良好的服务记录,财务状况正常,有固定的经营场所和服务人员;
7. 不接受联合体投标。
三、其他要求:
1. 参加本次投标的投标申请人,请先按下方要求进行网上报名,并按时间节点和相关要求提供有关投标文件,我司将组织相关人员对投标申请人的资质材料进行审核。
2. 请投标申请人提供包括但不限于合格投标人资格所要求提供的有关资质材料、及投标申请人认为有助于投标的其他相关材料等。上述资质证明材料请不要密封。
3. 投标文件中需附投标单位法人签发并加盖公章的投标委托书,并附投标单位法人、投标人身份证复印件。同时签署投标廉政承诺函。投标廉政承诺函:投标廉政承诺函下载
4. 请根据我集团标准的询价单格式提交相关报价一览表及服务方案。(设备采购询价表下载)询价表一式六份。此表格需要密封递送。
5. 供应商应具备开具全额增值税专用发票的资质,并对其开具的增值税专用发票的真实性和有效性负责。
6. 本项目报名截止时间为2025年9月10日15时整;提交投标文件截止时间为2025年9月12日15时整,请在此截止时间前提交投标文件,过时不予受理。开标、评标时间和地点另行通知。
7. 对于投标内容不符合SMG要求的(包括但不限于产品质量、履约能力、产品报价等),SMG有权将其作为无效投标处理。
8. 本项目的招标公告仅发布在SMG官网“www.smg.cn”上,未授权其他网站或报刊杂志进行转载,招标文件也不进行网上电子发售。
9、SMG对本次招标拥有最终解释权。
四、联系方式:
投标文件递送地址:上海市威海路298号上视大厦17楼行政事务中心
联系人:卞先生
联系电话:22000339
上海广播电视台
上海文化广播影视集团有限公司
2025年9月4日
单位名称: | 单位地址: | ||
邮政编码: | 联系人: | ||
电话: | 手机: | ||
传真: | 组织机构代码证编号: | ||
邮箱: | |||