上海浦东发展银行总行源代码安全扫描工具 采购供应商征集公告

产品能力需求

1、环境部署要求

1.1 产品为软件形态，支持私有化部署

1.2 支持**操作系统、海光CPU、X86架构环境部署；**操作系统、鲲鹏CPU、Arm架构环境部署

2、基础能力要求（必选）

2.1 支持对java、JSP、C、python等主流开发语言的安全缺陷检测

2.2 支持OWASP Top10及其他常见安全缺陷扫描

2.3 支持接口调用，可适用于Devops流水线

2.4 支持产品版本、知识库、扫描策略离线升级

2.5 支持缺陷信息展示，包括检测到的缺陷名称、风险等级、缺陷描述、修复建议等

2.6 支持包括不限于EXCEL、PDF等格式输出测试报告

2.7 **扫描任务次数无限制，支持多任务并发扫描

2.8 支持后续维护包含平台升级、规则库升级和故障解决的现场技术支持等服务

2.9 具备完整配置、运行、统计、报表功能

2.10 支持历史扫描任务查询

产品功能性需求

用户界面管理

登录形式

支持网页登录、远程登录

界面展示

漏洞级别及数量展示、中文支持

扫描能力

扫描对象

支持java、C、C++等行内常用语言安全扫描

支持通过本地或Git等版本管理平台获取代码

扫描能力

支持多语言混合检测

具备OWASP TOP10部分安全漏洞检测能力

支持自动识别语言

支持AI代码修复

支持AI代码审计

支持数据流跟踪

支持定时扫描

支持全量扫描 增量扫描

扫描结果

结果提供漏洞名称、漏洞等级、漏洞描述、修复建议等信息

扫描效率

规定配置下，较短的检测时间

异常捕捉

执行异常提示报错原因

并发任务

支持多个账号同时登录，建立多并发扫描任务

API管理

API管理

支持远程API调用，可适用于Devops流水线

支持接入行内大模型

后台管理

报告管理

支持各种标准格式（HTML、PDF、XML等格式）导出结果报告

导出结果报告支持项目名包含中文、英文

支持自定义报告内容

权限管理

账户分组，用户根据权限操作扫描、报告、管理等

日志管理

支持查看日志

配置功能

扫描任务控制操作

验证产品扫描任务支持暂停、停止、启动、重新扫描和删除操作

运维登录

验证产品是否支持B/S管理架构或使用Edge或Chrome浏览器登录访问与操作。

历史扫描记录对比展示

验证产品是否支持历史扫描记录对比，方便查看历史扫描情况

代码审计

验证产品是否支持批量审计

数据统计分析

验证产品是否支持不同维度的数据统计及分析

业务功能

扫描规则管理

验证产品是否支持扫描规则的查看及导出

验证产品是否支持自定义创建规则模板

验证产品是否支持自定义规则白名单

验证产品是否支持自定义settings.xml文件

缺陷状态更新标记

验证产品是否支持缺陷状态更新，如新增、未修复、已修复

注册材料

境内企业

境内机构

境外主体

营业执照

营业执照

事业单位法人证/律所职业资格证/其他机构登记证明

商业登记证明

承诺声明及授权书（含廉洁自律承诺函）

√

√

√

供应商声明

√

√

√

法人身份证/护照

√

√

√

企业介绍

√

√

上年度财报（因有特殊情况，****公司没有强制审计、成立不满1年或其他原因等，可情况说明代替）

√

√

同等证明材料

税收及社保缴纳记录（近6个月任一期）

√

√

同等证明材料

资质材料（注册环节非必传）

√

√

√

案例材料（注册环节非必传）

√

√

√