学探巡安全代码验证测试平台需求

学探巡安全代码验证测试平台需求（一）采购货物一览表序号货物名称数量单位1探巡安全代码验证测试平台1套（二）主要技术及配置要求序号1性能1.CPU：≥16C64位内存≥64GB硬盘≥6TB。2功能2.1用于检测开发过程中所使用到的第三方组件及组件版本，同时展示组件版本的详细信息。2.2用于检测供应链开发过程中多种二进制格式中使用到的开源组件及组件版本详情。2.3用于检测被识别到的组件中是否包含已知安全漏洞及威胁。2.4用于检测代码中的相关漏洞及威胁。2.5用于识别被检测出的组件的许可证信息及许可证详细信息。2.6展示项目的物料清单SBOM。2.7展示组件的依赖关系。2.8输出相关详细报告及物料清单。3技术参数3.1支持对二进制的部分构建检测；3.2支持对源代码的静态扫描检测；3.3支持对源代码的模糊测试；3.4支持对源代码的溯源检测；3.5支持主流多种开发语言，包括：JAVA,JavaScript,PHP,Python,Golang,C#,.Net，Ruby，Perl，Swift，Objective-C,C/C++等30多种主流程序开发语言检测；3.6支持Maven、Gradle、NuGet、NPM、Bower、Conan等主流包管理精准依赖溯源分析；3.7支持不通过编译，利用私有化依赖图谱，直接对源代码进行依赖传递分析；3.8支持Makefile解析及编译过程监控的方式进行C/C++依赖精准溯源分析；3.9支持包括：字节码（.jar、.war、.ear、.aar）、支持包括PE(exe、dll等)、ELF(so等)、安装包(msi、deb、rpm等）、二进制文件压缩包(.zip、.rar、.7z、.tar、.tar.gz等）、二进制文件（.so、.o、.dll、.a、.lib、.elf、.exe、.com、.bin、.deb、.msi、.rpm、.ko、.sys、.dylib）、移动端（.apk、.xapk、.aab）、镜像文件（.tar（docker镜像））在内的多种二进制文件格式类型代码分析；3.10支持通过文件哈希比对、BOM文件解析溯源、二进制代码特征提取等方式完成二进制检测；3.11支持以行级为主的代码自主率检测、以原创文件数为主的自主率检测、以最相似项目、最相似项目的同源比例检测等；3.12支持利用扫描引擎提供的扫描结果，建立企业开源软件资产库，提供信息包括：项目名称、开源组件名称、版本、发布组织、许可证、发布时间、当前版本、最新版本、组件路径、影响范围、深度、检测方式、匹配程度等组件相关信息；3.13支持通过CI/CD、CLI模式对接的项目检测能力。3.14支持GitLab-CI的集成，通过Pipeline脚本发起检测，检测完成后可在Gitlab平台直接查看检测结果，并支持设置安全策略阻断构建过程；3.15支持单个文件接近机器内存大小的大文件二进制代码分析；3.16安全漏洞库支持40万条漏洞能力，涵盖CVE、NVD、CNNVD、Github等漏洞信息；3.17支持用户建立自定义代码库与漏洞信息库，支持多用户多任务同时并行执行检测分析；3.18支持不少于8000万开源组件及组件版本数据；3.19报告导出格式支持Word、PDF、CSV、Json、xml等多种格式，导出的检测报告，支持批量下载；3.20支持SPDX、Cyclonedx、Swid三种SBOM文件格式的生成与导出；3.21支持统一看板管理功能，展示平台项目数量、扫描数量、组件数量、漏洞数量等信息以及支持以图形化的方式展示检测任务的组件等级分布、许可协议分布、漏洞等级分布；3.22支持软硬一体交付模式。注：1.本项目采购内容包括采购清单中供货、安装调试、验收、培训、质保期内的售后服务等。投标报价包括设备费、安装调试费、售后服务费、培训费、有关部门的验收费、政策性文件规定及合同包含的所有风险、责任等各项全部费用。2.安装环境：投标人须自行了解使用环境的一切与本项目实施有关的情况，提供产品时应考虑相应的环境与条件。