标包

(略) 安全测试工具采购项目（应用系统黑盒安全检测产品） (略)

* 、采 购 人： (略)

地 址： (略) 省 (略) 市 (略) 区通姜路东首

采购代理机构： (略) (略)

地 址： (略) 市 (略) 区山海路 * 号 (略) 大厦 * 楼

联系方式： 点击查看>>

* 、采购项目名称： (略) 安全测试工具采购项目（应用系统黑盒安全检测产品）POC测试供应商征集

采购项目编号：/

采购项目分包情况：

* 、项目背景、测试范围及技术要求

(略) (略) 业金融机构业务应用系统安全管理要求， (略) 业务应用系统应对安全威胁的能力，提升软件安全开发、安全测试水平，拟引入 * 套安全测试软件平台工具，在不改变现有IT流程的前提下，帮助开发测试人员更加高效地完成各类业务应用系统上线前的安全检测，将应用安全威胁发现能力前置到开发测试环节。

本次计划采购的安全测试工具以黑盒自动化安全测试手段为主，主要满足以下业务需求：

• 支持各类业务应用系统（如WEB应用、APP应用等）在上线投产、版本迭代前的开发测试阶段开展安全漏洞和缺陷的检测扫描，及时发现安全问题并解决

• 安全检测过程不改变现有的软件开发测试工作流程，不显著增加软件开发测试工作量

  针对各供应商提供的安全测试工具系统，我行主要针对以下 (略) 测试评估：

  1. (略) 站应用URL和IP地址自动化、自助化安全检测

     支持对包含账号密码登录页面、带验证码的登录页 (略) 站应用URL和 (略) 自动化“ * 站式”检测， (略) 完整 (略) 扫描、系统识别页面程序漏洞，检测过程无需安全专业人员介入。特别是针对包含登 (略) 景，应能够保证验证码识别率达到 * %以上，避免因验证码无法识别而导致安全检测失败、检测不完整等问题。

  2. 支持移动APP应用自动化、自助化安全检测

     支持对基于安卓（Android）、苹果（IOS） (略) 的各类移动APP应用程序自动化、自助化“ * 站式”综合安全检测。

  3. 支持包含漏洞详细描述、漏洞定位、修复整改建议及安全代码示例等内容的安全检测评估报告

     针对检测发现的安全漏洞和缺陷，提供URL (略) 级别定位，能够给出包含详细的漏洞描述、修复方案建议和安全代码示例等内容的安全检测报告，便于指导开发测试人员快速修复安全漏洞。

  4. 支持必要的客户化开发集成

     (略) 其他 (略) 必要集成，包括开放标准的API接口服务，与身份认证系统、漏洞管理平台对接等，可满足在其他应用系统界面中直接发起安全检测任务、调用安全检测功能、收集漏洞信息、获取安全检测结果 (略) 景需求。

  5. 支持以下各类安全漏洞检测及缺陷审查

     1. OWASP TOP * 列举的主流WEB应用漏洞，如WEB注入类漏洞、跨站脚本攻击（XSS）、跨站请求伪造（CRSF）、URL跳转、身份认证失效、访问控制失效、安全错误配置等。

     2. 业务逻辑安全漏洞，如水平越权、垂直越权、批量注册、验证码绕过、短信轰炸等。

     3. 敏感信息泄露类安全漏洞，如对配置文件、测试文件、备份文件、SVN、GIT、压缩包、临时文件、接口暴露可能导致的信息泄露威胁。

     4. 主流组件服务弱口令缺陷，如HTTP基础登录、SSH、VPN、LDAP、SMTP、POP3、Jenkins、Tomcat、Oracle等常见组件或服务中其潜在的弱口令风险。

     5. 第 * 方开源组件缺陷漏洞，如Tomcat、Redis、Weblogic、Jboss、Struts、Spring、Hadoop、Spark、Zookeeper等常见第 * 方开源开发框架、中间件、数据库等组件中已经公开的漏洞缺陷。

     6. 其他高风险漏洞，例如本地文件包含、任意文件下载、任意文件上传、任意文件删除、目录遍历、 (略) 、上传WEBShell等容易被攻击者利用的安全漏洞。

  6. 支持特定类型漏洞单独检测或复查

     可按照需求对特定类型漏洞、 (略) 针对性检测或重复检测，适配突发漏洞或紧急 (略) 景。

  7. 支持漏洞的闭环跟踪管理

     (略) 发现漏洞的修复情况，实现漏洞从发现、确认、修复、复查等关键生命周期的全流程闭环管理。

  8. (略) 署方式

     (略) (略) Saa (略) 署模式。

  9. 较低的误报率

     支持较高的漏洞缺陷检测正确率，消除误报造成的复查工作，漏洞检测误报率原则上不应超过2%。

  * 、议程安排：

  1.报名参与时间：自 * 日起至 * 日止，上午8: * － * : * ，下午 * : * － * : * （ (略) 时间，法定公休日、法定节假日除外）

  2.报名地点： (略) (略) （ (略) 市 (略) 区山海路 * 号 (略) 大厦 * 楼 * 业务窗口）

  3.报名电话： 点击查看>> 6

  联系人：徐慧

  4.是否接受测试反馈时限： * 年6月 * 日 * ： * 时（ (略) 时间）前将邀请函加盖公章扫描后回传至 (略) (略) 邮箱（邮箱： * * .com），逾期未发送的供应商视为自动放弃（以收件时间为准）。所有 (略) 投产品/ (略) 人POC测试，未参加POC测试的供应商将不能参加本项目的后续投标环节。

  5.测试地点： (略) 。

  * 、有关说明：

  1．采购人不统 * 组织 (略) 进行勘察。无论 (略) 考察与否，都将被 (略) 合同有关的 * 切情况，并承担 * 切与磋商有关的风险、责任和义务， (略) 发生的 * 切费用 (略) 承担。

  2.单位负责人为同 * 人或者存在直接控股、管理关系的不同供应商，不得参加同 * 合同项下的采购活动。

  * 、联系方式：

  1.采 购 人： (略)

  联 系 人：丛君晓

  电 话： 点击查看>>

  2.采购代理机构： (略) (略)

  联 系 人：李强

  联系方式： 点击查看>>

  发 布 人： (略) (略)

  发布时间： * 日

标包

(略) 安全测试工具采购项目（应用系统黑盒安全检测产品） (略)

* 、采 购 人： (略)

地 址： (略) 省 (略) 市 (略) 区通姜路东首

采购代理机构： (略) (略)

地 址： (略) 市 (略) 区山海路 * 号 (略) 大厦 * 楼

联系方式： 点击查看>>

* 、采购项目名称： (略) 安全测试工具采购项目（应用系统黑盒安全检测产品）POC测试供应商征集

采购项目编号：/

采购项目分包情况：

* 、项目背景、测试范围及技术要求

(略) (略) 业金融机构业务应用系统安全管理要求， (略) 业务应用系统应对安全威胁的能力，提升软件安全开发、安全测试水平，拟引入 * 套安全测试软件平台工具，在不改变现有IT流程的前提下，帮助开发测试人员更加高效地完成各类业务应用系统上线前的安全检测，将应用安全威胁发现能力前置到开发测试环节。

本次计划采购的安全测试工具以黑盒自动化安全测试手段为主，主要满足以下业务需求：

• 支持各类业务应用系统（如WEB应用、APP应用等）在上线投产、版本迭代前的开发测试阶段开展安全漏洞和缺陷的检测扫描，及时发现安全问题并解决

• 安全检测过程不改变现有的软件开发测试工作流程，不显著增加软件开发测试工作量

  针对各供应商提供的安全测试工具系统，我行主要针对以下 (略) 测试评估：

  1. (略) 站应用URL和IP地址自动化、自助化安全检测

     支持对包含账号密码登录页面、带验证码的登录页 (略) 站应用URL和 (略) 自动化“ * 站式”检测， (略) 完整 (略) 扫描、系统识别页面程序漏洞，检测过程无需安全专业人员介入。特别是针对包含登 (略) 景，应能够保证验证码识别率达到 * %以上，避免因验证码无法识别而导致安全检测失败、检测不完整等问题。

  2. 支持移动APP应用自动化、自助化安全检测

     支持对基于安卓（Android）、苹果（IOS） (略) 的各类移动APP应用程序自动化、自助化“ * 站式”综合安全检测。

  3. 支持包含漏洞详细描述、漏洞定位、修复整改建议及安全代码示例等内容的安全检测评估报告

     针对检测发现的安全漏洞和缺陷，提供URL (略) 级别定位，能够给出包含详细的漏洞描述、修复方案建议和安全代码示例等内容的安全检测报告，便于指导开发测试人员快速修复安全漏洞。

  4. 支持必要的客户化开发集成

     (略) 其他 (略) 必要集成，包括开放标准的API接口服务，与身份认证系统、漏洞管理平台对接等，可满足在其他应用系统界面中直接发起安全检测任务、调用安全检测功能、收集漏洞信息、获取安全检测结果 (略) 景需求。

  5. 支持以下各类安全漏洞检测及缺陷审查

     1. OWASP TOP * 列举的主流WEB应用漏洞，如WEB注入类漏洞、跨站脚本攻击（XSS）、跨站请求伪造（CRSF）、URL跳转、身份认证失效、访问控制失效、安全错误配置等。

     2. 业务逻辑安全漏洞，如水平越权、垂直越权、批量注册、验证码绕过、短信轰炸等。

     3. 敏感信息泄露类安全漏洞，如对配置文件、测试文件、备份文件、SVN、GIT、压缩包、临时文件、接口暴露可能导致的信息泄露威胁。

     4. 主流组件服务弱口令缺陷，如HTTP基础登录、SSH、VPN、LDAP、SMTP、POP3、Jenkins、Tomcat、Oracle等常见组件或服务中其潜在的弱口令风险。

     5. 第 * 方开源组件缺陷漏洞，如Tomcat、Redis、Weblogic、Jboss、Struts、Spring、Hadoop、Spark、Zookeeper等常见第 * 方开源开发框架、中间件、数据库等组件中已经公开的漏洞缺陷。

     6. 其他高风险漏洞，例如本地文件包含、任意文件下载、任意文件上传、任意文件删除、目录遍历、 (略) 、上传WEBShell等容易被攻击者利用的安全漏洞。

  6. 支持特定类型漏洞单独检测或复查

     可按照需求对特定类型漏洞、 (略) 针对性检测或重复检测，适配突发漏洞或紧急 (略) 景。

  7. 支持漏洞的闭环跟踪管理

     (略) 发现漏洞的修复情况，实现漏洞从发现、确认、修复、复查等关键生命周期的全流程闭环管理。

  8. (略) 署方式

     (略) (略) Saa (略) 署模式。

  9. 较低的误报率

     支持较高的漏洞缺陷检测正确率，消除误报造成的复查工作，漏洞检测误报率原则上不应超过2%。

  * 、议程安排：

  1.报名参与时间：自 * 日起至 * 日止，上午8: * － * : * ，下午 * : * － * : * （ (略) 时间，法定公休日、法定节假日除外）

  2.报名地点： (略) (略) （ (略) 市 (略) 区山海路 * 号 (略) 大厦 * 楼 * 业务窗口）

  3.报名电话： 点击查看>> 6

  联系人：徐慧

  4.是否接受测试反馈时限： * 年6月 * 日 * ： * 时（ (略) 时间）前将邀请函加盖公章扫描后回传至 (略) (略) 邮箱（邮箱： * * .com），逾期未发送的供应商视为自动放弃（以收件时间为准）。所有 (略) 投产品/ (略) 人POC测试，未参加POC测试的供应商将不能参加本项目的后续投标环节。

  5.测试地点： (略) 。

  * 、有关说明：

  1．采购人不统 * 组织 (略) 进行勘察。无论 (略) 考察与否，都将被 (略) 合同有关的 * 切情况，并承担 * 切与磋商有关的风险、责任和义务， (略) 发生的 * 切费用 (略) 承担。

  2.单位负责人为同 * 人或者存在直接控股、管理关系的不同供应商，不得参加同 * 合同项下的采购活动。

  * 、联系方式：

  1.采 购 人： (略)

  联 系 人：丛君晓

  电 话： 点击查看>>

  2.采购代理机构： (略) (略)

  联 系 人：李强

  联系方式： 点击查看>>

  发 布 人： (略) (略)

  发布时间： * 日