技術(shù)標準和服務要求

1、技術(shù)標準和服務要求一、技術(shù)標準（一）具體技術(shù)指標要求采購內(nèi)容及數(shù)量：靜態(tài)質(zhì)量分析環(huán)境，一套。交付物：投標人在交貨時將提供以下資料：設備平臺、用戶手冊、系統(tǒng)說明文檔、系統(tǒng)測試大綱、系統(tǒng)測試報告及配套的其他附件等，參照用戶手冊能夠正常使用設備。靜態(tài)質(zhì)量分析環(huán)境技術(shù)規(guī)格要求如下：（能否嚴格按照批復指標寫，把批復指標放在最前面且打 ）1. 支持代碼來源分析功能和審計管理功能。（ 1 ）開源軟件數(shù)據(jù)庫包含3000 萬以上的項目數(shù)據(jù)，提供萬級漏洞信息；（ 2）支持快速檢測，誤報率低于0.1%，支持軟件許可證分析；（ 3）支持離線部署，支持每周定期更新；（ 4）不限代碼量測試，提供永久使用授權(quán)；2. 支持代

2、碼覆蓋性檢查功能；（ 1 ）支持C/C+ 語言的單元和集成測試；（ 2）支持測試腳本的自動生成；（ 3）支持測試用例的自動生成；（ 4）支持局部靜態(tài)數(shù)據(jù)；（ 5）支持外部數(shù)據(jù)源生成測試用例；（ 6）支持對外部函數(shù)的打樁；（ 7）支持對外部函數(shù)、系統(tǒng)函數(shù)的封裝，接口可編程；（ 8）支持函數(shù)調(diào)用序列的驗證；（ 9）支持測試結(jié)果的驗證；（ 10 ）支持銀河麒麟操作系統(tǒng)；（ 11 ）提供永久使用授權(quán)；3. 支持軟件代碼靜態(tài)結(jié)構(gòu)檢查功能。（ 1） ）支持 C、 C+、Java、JavaScript 、Python 等主流編程語言開發(fā)的軟件源代碼的缺陷檢測；（ 2） 持 SQL 注入、跨站腳本、API 誤

3、用、輸入驗證、危險函數(shù)、格式化字符串、整數(shù)溢出、內(nèi)存泄露、二次釋放等常見安全缺陷類型的檢測，缺陷類型不少于700 個；（ 3） 能夠?qū)υ创a安全缺陷掃描結(jié)果進行匯總，并按照問題的嚴重性和可能性進行威脅級別的劃分，如高、中、低等多個級別；（ 4） 能夠提供中文的源代碼安全缺陷分類、缺陷描述及修復建議，支持配置自動化檢測策略，能夠從SVN 、 Git 上獲取源代碼；（ 5） 能夠迅速定位某一特定源代碼缺陷問題所在的源代碼行，對問題產(chǎn)生的整個過程進行跟蹤；4. 提供服務器端軟件和PC 客戶端軟件。（ 1 ） 用戶操作界面友好，能夠提供 “ 掃描分析 ” 、 “ 安全評估 ” 等功能觸發(fā)入口；（ 2）

4、提供永久使用授權(quán)；（ 3）支持銀河麒麟操作系統(tǒng)平臺；（ 4） 通過銀河麒麟操作系統(tǒng)廠家的適配認證，系統(tǒng)操作環(huán)境采用安裝了銀河麒麟操作系統(tǒng)平臺的硬件設備。5. 具有系統(tǒng)安全評估功能。（ 1） 包括word、excel、pdf等多種格式的檢測報告；（ 2） 報告內(nèi)容可對缺陷等級、缺陷類型、修復建議、跟蹤路徑、審計日志根據(jù)需求進行定制；（ 3）支持按項目、用戶、缺陷等多個維度的統(tǒng)計分析；（ 4） 源代碼安全缺陷分析系統(tǒng)應搭配高性能服務器，配置不少于2顆CPU,內(nèi)存不小于128G,存儲不少于4TB,提供 不少于 2 個千兆網(wǎng)口。6. 支持代碼的審計管理功能，具備識別開源組件及其相應的已知漏洞和脆弱性信

5、息（CVE ）能力；7. 支持代碼來源分析項目的管理；8. 支持覆蓋率分析，覆蓋率指標至少包括：入口點、調(diào)用-返回、語句、基本塊、判定（分支）、條件、MC/DC ；9. 支持可視化的代碼覆蓋率；10. 支持測試用例對覆蓋率的貢獻分析，支持優(yōu)化無貢獻的測試用例；11. 代碼覆蓋性檢查功能支持自動化回歸測試；12. 代碼覆蓋性檢查功能支持需求跟蹤，支持需求的導入和跟蹤矩陣的導出，支持XML、 CSV 格式和 DOORS 需求管理工具，支持需求版本的差異分析；13. 代碼覆蓋性檢查功能支持代碼變更分析，針對代碼變更給出對已有測試的建議；14. 代碼覆蓋性檢查功能支持測試結(jié)果的集中共享；15. 代碼覆

6、蓋性檢查功能支持質(zhì)量度量分析；16. 代碼覆蓋性檢查功能自動化生成測試報告，支持多工程報告。（二）樣品要求 無。（三）實施人員要求 無。（四）生產(chǎn)及安裝調(diào)試等要求在設備交貨前2 周，投標人應通知招標人有關(guān)設備安裝的環(huán)境與安裝條件（與要求相適應的環(huán)境）， 招標人做好設備安裝前的準備工作。到貨后 1 周內(nèi)，投標人免費到招標人現(xiàn)場進行安裝調(diào)試。投標人對招標人進行操作和維護培訓，培訓應能使操作技術(shù)人員較熟練掌握操作和維護保養(yǎng)相關(guān)技術(shù)，具有保證系統(tǒng)正常運行和排除系統(tǒng)一般故障的能力。并提供不少于一個月生產(chǎn)現(xiàn)場技術(shù)支持等工作。（五）供貨、安裝周期及交貨地點要求1. 合同生效后，中標方在30 天內(nèi)完成安裝及調(diào)

7、試。2. 中標方提供設備的各項技術(shù)性能指標必須達到合同和技術(shù)文件規(guī)定的要求。3. 交貨地點 : 湖南長沙。（六）售后質(zhì)保培訓等要求1. 自驗收合格日起，產(chǎn)品質(zhì)保期不少于3 年， 質(zhì)保期內(nèi)軟件部分可以免費升級，投標人負責提供技術(shù)支持。2. 質(zhì)保期內(nèi)，招標人在使用產(chǎn)品過程中，遇到技術(shù)問題或出現(xiàn)非人為損壞的設備質(zhì)量問題，投標人在24 小時內(nèi)趕到現(xiàn)場，負責維護或更換，由此發(fā)生的費用完全由投標人負責。3. 質(zhì)保期結(jié)束后投標人仍繼續(xù)負責設備的維修，產(chǎn)品出現(xiàn)使用問題時，投標人在24 小時內(nèi)給予有效響應，通過電話或Email 解決，維修中只收取必要的成本費；若招標人認為確需投標人到現(xiàn)場進行支持，投標人應積極配

8、合，并且提供5*8 小時上門服務，直到解決問題，由此發(fā)生的費用由雙方共同協(xié)商解決。（七）保密要求甲、乙雙方在采購和履行合同過程中所獲悉的對方屬于保密的內(nèi)容，甲乙雙方均有保密義務。采購具體內(nèi)容對外保密，要求提供保密承諾函，并簽字蓋章。（八）報價要求人民幣（含稅）。（九）投標人需準備資料要求投標人需要按要求提供采購談判響應聲明、報價一覽表、貨物說明一覽表、商務響應偏離表、技術(shù)響應偏離表和產(chǎn)品技術(shù)資料等。除此以外，需要提供采購設備的實際部署和管理維護方案。（十）其他項目個性化要求無。二、付款及驗收（一）付款方式甲方在乙方供貨到位并通過驗收之后，30 個工作日內(nèi)一次性付清合同全款。（二）驗收方式1.

9、驗收（ 1）清點由雙方共同進行，雙方共同進行交付內(nèi)容確認。（ 2） 雙方核對設備及文件與合同簽訂的一致性，包括設備版本、文件種類等。（ 3）如出現(xiàn)與合同簽訂內(nèi)容不符或任何非運輸中的損壞，由投標人在兩周內(nèi)進行解決，由此發(fā)生的一切費用由投標人承擔。2. 驗收標準：由招標人按照合同中簽訂的設備版本、規(guī)格、技術(shù)性能指標、附（備）件等確定驗收項目，投標人負責協(xié)助驗收工作。3. 驗收內(nèi)容：1 ）驗收應在招標人和投標人雙方授權(quán)代表在場的情況下，按 本技術(shù)協(xié)議配置及性能指標逐項進行驗收。（ 2）雙方根據(jù)合同要求對交付清單進行清點核對。4. 系統(tǒng)配置驗收：根據(jù)本技術(shù)協(xié)議設備的標準配置，逐項清點， 確保配置齊全；同時檢查隨機文件，應齊套。5. 當驗收結(jié)果不能達到驗收標準時，招標人有權(quán)拒絕接受合同設備，并由投標人在2 周內(nèi)更換，由此發(fā)生的費用及給招標人所造成的損失由投標人承擔；更換后1 周內(nèi)仍驗收不