长沙农村商业银行股份有限公司（以下简称“我行”）拟开展DevSecOps安全工具项目建设交流，现诚邀具备条件的厂商积极报名参加。现将有关事宜公告如下：

一、项目情况

我行拟落地DevSecOps安全开发生命周期流程，本次计划引入IAST交互式应用测试系统、SCA软件成分分析工具。通过在开发生命周期中的开发、测试阶段引入IAST，做到安全测试前移，减少安全测试工具误报率，提高我行安全开发效率。通过引入SCA，做到第三方组件准入、定期巡检、指定组件排查等，减少开源组件带来的安全问题，提高我行系统安全性。

IAST交互式应用测试系统包括但不限于以下内容：

（一）自有代码安全测试，自动化地分析应用和API 接口，找出安全漏洞，并定位到漏洞代码；

（二）开源软件安全测试，测试开源库和框架的安全性，识别开源软件的已知漏洞，识别开源软件中潜在漏洞；

（三）工具集成，集成对接DevOps、Jira、本行开发平台等。

SCA软件成分分析工具包括但不限于以下内容：

（一）识别第三方组件中的已知漏洞；

（二）识别第三方组件的软件许可，识别引入第三方组件存在的法律风险和知识产权问题；

（三）识别第三方组件中的恶意代码，识别是否引用被篡改的第三方组件；

（四）工具集成，集成对接DevOps、Jira、本行开发平台等。

二、系统要求

1.系统要支持私有化部署。

2.系统要支持定制化改造。

3.要求与本行系统无缝集成。

三、公司资质

1.具有独立法人资格，并有能力提供后续项目开展所需的招标内容及服务。具有专属的技术及服务团队，能够协助我行打造平台。

2.公司资质优良，近两年信誉、财务状况良好。

3.与我行无不良合作史，无社会不良记录。

4.获得ISO27001信息安全体系证书并在有效期内。

5.报名参与交流的公司必须为原厂商，产品必须拥有自主知识产权，相应产品应具备公安部门颁发的在有效期内的《计算机信息系统安全专用产品销售许可证》。

6.应具有近三年省级、省会企事业单位、上市或资产规模1000亿及以上银行的项目成功案例（并出具相关证明材料）。

四、公司报名

交流资料提交截止日期2022年4月29日。申请厂商需在截止日期前将产品文档、产品功能清单、成功案例清单及证明材料、联系人通讯方式，以邮件方式发送到我行联系人邮箱。具体技术交流时间和方式以我行电话或邮件通知为准。

五、其他事项

1.本次交流活动不涉及合同条款谈判、合约签订等商务内容，仅限于相关业务领域的技术分享与探讨。

2. 同时具有IAST、SCA产品的厂商优先交流。

3.参与交流厂商须严格遵守相关保密义务。应保证提供的资料、案例真实无误，且保证在整个交流过程中不存在欺诈行为，否则自行承担相应责任。

4.我行不承诺参与交流的单位进入后续招标环节。

六、联系方式

单位名称：长沙农村商业银行股份有限公司

联系人：刘先生

邮箱：liuyuan@crcbbank.com