技術(shù)標(biāo)準(zhǔn)和服務(wù)要求

1、技術(shù)標(biāo)準(zhǔn)和服務(wù)要求一、技術(shù)標(biāo)準(zhǔn)（一）具體技術(shù)指標(biāo)要求采購(gòu)內(nèi)容及數(shù)量：靜態(tài)質(zhì)量分析環(huán)境，一套。交付物：投標(biāo)人在交貨時(shí)將提供以下資料：設(shè)備平臺(tái)、用戶手冊(cè)、系統(tǒng)說明文檔、系統(tǒng)測(cè)試大綱、系統(tǒng)測(cè)試報(bào)告及配套的其他附件等，參照用戶手冊(cè)能夠正常使用設(shè)備。靜態(tài)質(zhì)量分析環(huán)境技術(shù)規(guī)格要求如下：（能否嚴(yán)格按照批復(fù)指標(biāo)寫，把批復(fù)指標(biāo)放在最前面且打 ）1. 支持代碼來源分析功能和審計(jì)管理功能。（ 1 ）開源軟件數(shù)據(jù)庫(kù)包含3000 萬以上的項(xiàng)目數(shù)據(jù)，提供萬級(jí)漏洞信息；（ 2）支持快速檢測(cè)，誤報(bào)率低于0.1%，支持軟件許可證分析；（ 3）支持離線部署，支持每周定期更新；（ 4）不限代碼量測(cè)試，提供永久使用授權(quán)；2. 支持代

2、碼覆蓋性檢查功能；（ 1 ）支持C/C+ 語(yǔ)言的單元和集成測(cè)試；（ 2）支持測(cè)試腳本的自動(dòng)生成；（ 3）支持測(cè)試用例的自動(dòng)生成；（ 4）支持局部靜態(tài)數(shù)據(jù)；（ 5）支持外部數(shù)據(jù)源生成測(cè)試用例；（ 6）支持對(duì)外部函數(shù)的打樁；（ 7）支持對(duì)外部函數(shù)、系統(tǒng)函數(shù)的封裝，接口可編程；（ 8）支持函數(shù)調(diào)用序列的驗(yàn)證；（ 9）支持測(cè)試結(jié)果的驗(yàn)證；（ 10 ）支持銀河麒麟操作系統(tǒng)；（ 11 ）提供永久使用授權(quán)；3. 支持軟件代碼靜態(tài)結(jié)構(gòu)檢查功能。（ 1） ）支持 C、 C+、Java、JavaScript 、Python 等主流編程語(yǔ)言開發(fā)的軟件源代碼的缺陷檢測(cè)；（ 2） 持 SQL 注入、跨站腳本、API 誤

3、用、輸入驗(yàn)證、危險(xiǎn)函數(shù)、格式化字符串、整數(shù)溢出、內(nèi)存泄露、二次釋放等常見安全缺陷類型的檢測(cè)，缺陷類型不少于700 個(gè)；（ 3） 能夠?qū)υ创a安全缺陷掃描結(jié)果進(jìn)行匯總，并按照問題的嚴(yán)重性和可能性進(jìn)行威脅級(jí)別的劃分，如高、中、低等多個(gè)級(jí)別；（ 4） 能夠提供中文的源代碼安全缺陷分類、缺陷描述及修復(fù)建議，支持配置自動(dòng)化檢測(cè)策略，能夠從SVN 、 Git 上獲取源代碼；（ 5） 能夠迅速定位某一特定源代碼缺陷問題所在的源代碼行，對(duì)問題產(chǎn)生的整個(gè)過程進(jìn)行跟蹤；4. 提供服務(wù)器端軟件和PC 客戶端軟件。（ 1 ） 用戶操作界面友好，能夠提供 “ 掃描分析 ” 、 “ 安全評(píng)估 ” 等功能觸發(fā)入口；（ 2）

4、提供永久使用授權(quán)；（ 3）支持銀河麒麟操作系統(tǒng)平臺(tái)；（ 4） 通過銀河麒麟操作系統(tǒng)廠家的適配認(rèn)證，系統(tǒng)操作環(huán)境采用安裝了銀河麒麟操作系統(tǒng)平臺(tái)的硬件設(shè)備。5. 具有系統(tǒng)安全評(píng)估功能。（ 1） 包括word、excel、pdf等多種格式的檢測(cè)報(bào)告；（ 2） 報(bào)告內(nèi)容可對(duì)缺陷等級(jí)、缺陷類型、修復(fù)建議、跟蹤路徑、審計(jì)日志根據(jù)需求進(jìn)行定制；（ 3）支持按項(xiàng)目、用戶、缺陷等多個(gè)維度的統(tǒng)計(jì)分析；（ 4） 源代碼安全缺陷分析系統(tǒng)應(yīng)搭配高性能服務(wù)器，配置不少于2顆CPU,內(nèi)存不小于128G,存儲(chǔ)不少于4TB,提供 不少于 2 個(gè)千兆網(wǎng)口。6. 支持代碼的審計(jì)管理功能，具備識(shí)別開源組件及其相應(yīng)的已知漏洞和脆弱性信

5、息（CVE ）能力；7. 支持代碼來源分析項(xiàng)目的管理；8. 支持覆蓋率分析，覆蓋率指標(biāo)至少包括：入口點(diǎn)、調(diào)用-返回、語(yǔ)句、基本塊、判定（分支）、條件、MC/DC ；9. 支持可視化的代碼覆蓋率；10. 支持測(cè)試用例對(duì)覆蓋率的貢獻(xiàn)分析，支持優(yōu)化無貢獻(xiàn)的測(cè)試用例；11. 代碼覆蓋性檢查功能支持自動(dòng)化回歸測(cè)試；12. 代碼覆蓋性檢查功能支持需求跟蹤，支持需求的導(dǎo)入和跟蹤矩陣的導(dǎo)出，支持XML、 CSV 格式和 DOORS 需求管理工具，支持需求版本的差異分析；13. 代碼覆蓋性檢查功能支持代碼變更分析，針對(duì)代碼變更給出對(duì)已有測(cè)試的建議；14. 代碼覆蓋性檢查功能支持測(cè)試結(jié)果的集中共享；15. 代碼覆

6、蓋性檢查功能支持質(zhì)量度量分析；16. 代碼覆蓋性檢查功能自動(dòng)化生成測(cè)試報(bào)告，支持多工程報(bào)告。（二）樣品要求 無。（三）實(shí)施人員要求 無。（四）生產(chǎn)及安裝調(diào)試等要求在設(shè)備交貨前2 周，投標(biāo)人應(yīng)通知招標(biāo)人有關(guān)設(shè)備安裝的環(huán)境與安裝條件（與要求相適應(yīng)的環(huán)境）， 招標(biāo)人做好設(shè)備安裝前的準(zhǔn)備工作。到貨后 1 周內(nèi)，投標(biāo)人免費(fèi)到招標(biāo)人現(xiàn)場(chǎng)進(jìn)行安裝調(diào)試。投標(biāo)人對(duì)招標(biāo)人進(jìn)行操作和維護(hù)培訓(xùn)，培訓(xùn)應(yīng)能使操作技術(shù)人員較熟練掌握操作和維護(hù)保養(yǎng)相關(guān)技術(shù)，具有保證系統(tǒng)正常運(yùn)行和排除系統(tǒng)一般故障的能力。并提供不少于一個(gè)月生產(chǎn)現(xiàn)場(chǎng)技術(shù)支持等工作。（五）供貨、安裝周期及交貨地點(diǎn)要求1. 合同生效后，中標(biāo)方在30 天內(nèi)完成安裝及調(diào)

7、試。2. 中標(biāo)方提供設(shè)備的各項(xiàng)技術(shù)性能指標(biāo)必須達(dá)到合同和技術(shù)文件規(guī)定的要求。3. 交貨地點(diǎn) : 湖南長(zhǎng)沙。（六）售后質(zhì)保培訓(xùn)等要求1. 自驗(yàn)收合格日起，產(chǎn)品質(zhì)保期不少于3 年， 質(zhì)保期內(nèi)軟件部分可以免費(fèi)升級(jí)，投標(biāo)人負(fù)責(zé)提供技術(shù)支持。2. 質(zhì)保期內(nèi)，招標(biāo)人在使用產(chǎn)品過程中，遇到技術(shù)問題或出現(xiàn)非人為損壞的設(shè)備質(zhì)量問題，投標(biāo)人在24 小時(shí)內(nèi)趕到現(xiàn)場(chǎng)，負(fù)責(zé)維護(hù)或更換，由此發(fā)生的費(fèi)用完全由投標(biāo)人負(fù)責(zé)。3. 質(zhì)保期結(jié)束后投標(biāo)人仍繼續(xù)負(fù)責(zé)設(shè)備的維修，產(chǎn)品出現(xiàn)使用問題時(shí)，投標(biāo)人在24 小時(shí)內(nèi)給予有效響應(yīng)，通過電話或Email 解決，維修中只收取必要的成本費(fèi)；若招標(biāo)人認(rèn)為確需投標(biāo)人到現(xiàn)場(chǎng)進(jìn)行支持，投標(biāo)人應(yīng)積極配

8、合，并且提供5*8 小時(shí)上門服務(wù)，直到解決問題，由此發(fā)生的費(fèi)用由雙方共同協(xié)商解決。（七）保密要求甲、乙雙方在采購(gòu)和履行合同過程中所獲悉的對(duì)方屬于保密的內(nèi)容，甲乙雙方均有保密義務(wù)。采購(gòu)具體內(nèi)容對(duì)外保密，要求提供保密承諾函，并簽字蓋章。（八）報(bào)價(jià)要求人民幣（含稅）。（九）投標(biāo)人需準(zhǔn)備資料要求投標(biāo)人需要按要求提供采購(gòu)談判響應(yīng)聲明、報(bào)價(jià)一覽表、貨物說明一覽表、商務(wù)響應(yīng)偏離表、技術(shù)響應(yīng)偏離表和產(chǎn)品技術(shù)資料等。除此以外，需要提供采購(gòu)設(shè)備的實(shí)際部署和管理維護(hù)方案。（十）其他項(xiàng)目個(gè)性化要求無。二、付款及驗(yàn)收（一）付款方式甲方在乙方供貨到位并通過驗(yàn)收之后，30 個(gè)工作日內(nèi)一次性付清合同全款。（二）驗(yàn)收方式1.

9、驗(yàn)收（ 1）清點(diǎn)由雙方共同進(jìn)行，雙方共同進(jìn)行交付內(nèi)容確認(rèn)。（ 2） 雙方核對(duì)設(shè)備及文件與合同簽訂的一致性，包括設(shè)備版本、文件種類等。（ 3）如出現(xiàn)與合同簽訂內(nèi)容不符或任何非運(yùn)輸中的損壞，由投標(biāo)人在兩周內(nèi)進(jìn)行解決，由此發(fā)生的一切費(fèi)用由投標(biāo)人承擔(dān)。2. 驗(yàn)收標(biāo)準(zhǔn)：由招標(biāo)人按照合同中簽訂的設(shè)備版本、規(guī)格、技術(shù)性能指標(biāo)、附（備）件等確定驗(yàn)收項(xiàng)目，投標(biāo)人負(fù)責(zé)協(xié)助驗(yàn)收工作。3. 驗(yàn)收內(nèi)容：1 ）驗(yàn)收應(yīng)在招標(biāo)人和投標(biāo)人雙方授權(quán)代表在場(chǎng)的情況下，按 本技術(shù)協(xié)議配置及性能指標(biāo)逐項(xiàng)進(jìn)行驗(yàn)收。（ 2）雙方根據(jù)合同要求對(duì)交付清單進(jìn)行清點(diǎn)核對(duì)。4. 系統(tǒng)配置驗(yàn)收：根據(jù)本技術(shù)協(xié)議設(shè)備的標(biāo)準(zhǔn)配置，逐項(xiàng)清點(diǎn)， 確保配置齊全；同時(shí)檢查隨機(jī)文件，應(yīng)齊套。5. 當(dāng)驗(yàn)收結(jié)果不能達(dá)到驗(yàn)收標(biāo)準(zhǔn)時(shí)，招標(biāo)人有權(quán)拒絕接受合同設(shè)備，并由投標(biāo)人在2 周內(nèi)更換，由此發(fā)生的費(fèi)用及給招標(biāo)人所造成的損失由投標(biāo)人承擔(dān)；更換后1 周內(nèi)仍驗(yàn)收不