厦门航空有限公司“厦航企业制品唯一可信源平台建设”采购项目供应商招募公告

厦门航空采购平台 · 发表于 2023-1-9 16:34:20

厦门航空有限公司

“厦航企业制品唯一可信源平台建设”采购项目供应商招募公告

厦门航空传媒科技有限公司受厦门航空有限公司委托，拟对“厦航企业制品唯一可信源平台建设”项目进行采购，现邀请符合条件的供应商报名。采购项目要求如下：

一、采购项目编号：暂无

二、采购项目名称：“厦航企业制品唯一可信源平台建设”项目

三、采购人：厦门航空有限公司

四、代理机构：厦门航空传媒科技有限公司

五、项目内容及要求：

1.产品需求：

产品

规格/标准

预估数量

厦航企业制品唯一可信源平台

一、基础要求

(1) 双因子认证：可以对接厦航的认证系统（cas或oidc）以实现二次验证

(2) 提供全功能的标准的API接口供第三方调用，即开放给用户操作的功能均可以通过接口调用，包括但不限于制品元数据增删改查、漏洞扫描报告查询导出、制品增删查、远程库以及本地私服库的增删改查、利用元数据作为筛选条件进行制品筛选等

(3) 每套平台均需实现高可用部署，支持滚动升级,减少维护的宕机时间；支持可按照业务量与客户要求进行横向扩展

(4) 支持容灾备份，要求支持本地备份、异地备份、冷备份、热备份的模式对系统进行全量或增量备份

(5) 支持使用S3协议的对象存储，同时制品库本地机器能够对热点制品数据进行缓存，避免对网络存储访问的性能问题

(6) 支持webhook监听制品事件，包括上传、下载、元数据的增删改查等，从而支持基于事件实时地和外部系统集成，监控制品最新状态

(7) 在产品交付时需满足以下要求：

A. 可运行在使用鲲鹏、飞腾芯片（至少满足1个）的服务器上

B.可运行在麒麟、统信（至少满足1个）的操作系统上C.兼容使用开源数据库MySQL或postgresql（PG）

(8) 中标供应商须与厦航签订《网络安全协议》《信息安全保密协议》

二、制品包管理

(1) 支持主流开发语言原生仓库：包括但不限于Docker、Helm、maven、Gradle、NPM、go、RubyGems、PyPI、NuGet、Conan、Conda、PHP、RPM、文件类型制品（包括二三方库依赖以及业务上线制品）库的创建、拷贝、删除等操作；提供上述类型制品的本地私服库以及远程库，其中远程库用作远程资源代理，负责自动拉取外网三方库依赖

(2) 离线编译能力：支持统一管理代码构建所需的所有依赖，实现编译环境仅连接本制品库的情况下可以正常进行代码编译

(3) 远程库及本地私服库数量不限制，制品数量不限制，系统用户数量不限制

(4) 具有权限管理功能，权限管理对象为库，支持创建、删除、移动、修改、只读等多种权限类型。权限颗粒度需要达到单个用户对单个库的权限配置能力，满足通配符或正则表达式匹配。

(5) 元数据管理：可记录软件包关联的DevOps生命周期数据以及其他自定义元数据，并与软件制品包关联

(6) 支持nexus制品迁移至本制品库

三、制品包安全

(1) 二三方库依赖准入控制：能根据设定的安全规则（包括但不限于漏洞评分、级别或依赖名称版本）自动阻止漏洞组件下载使用，并支持策略延时生效

(2) 业务制品的准出控制：能根据设定的安全规则（包括但不限于漏洞评分、级别或依赖名称版本）自动阻止漏洞业务制品下载使用

(3) 制品库安全扫描能力：支持深度分解检测制品的开源依赖及开源框架，细粒度，深层次地发现可能的漏洞，并能够展示依赖关系图及路径溯源；支持包括但不限于Docker、maven、Gradle、NPM、go、RubyGems、PyPI、NuGet、Conan、Conda、PHP、RPM、二进制压缩包等制品包格式；支持所引用开源组件的开源许可证合规审计，能够完整提示开源许可证的传染性特征

(4) 漏洞影响范围导出：可以根据特定规则（包括但不限于漏洞编号、依赖名称及版本、漏洞评分、漏洞等级）或结合元数据筛选（如只筛选在线运行的包）实现筛选并导出多种格式（包括但不限于CSV、PDF、JSON）的漏洞影响范围结果

(5) 漏洞信息及修复建议可靠且易懂：漏洞扫描结果包含但不限于漏洞编号、漏洞介绍、漏洞紧急程度以及详细可行易懂的漏洞修复建议

(6) 全面的漏洞库数据：在服务期间需保证对接开源的NVD漏洞库和商业的VulnDB漏洞数据库，且实时更新漏洞数据；支持自定义对接其他漏洞库，如CNVD漏洞数据库等

四、Jenkins支持

(1) 流水线集成：提供Jenkins插件或其他工具与官方Jenkins2.332.3-lts及之后的版本兼容集成，并定期维护；

(2) 提供jenkinsfile的模板支持与Jenkins进行对接，实现采用JenkinsPipeline实现面向DevOps的安全能力，其中包括但不限于代码拉取，兼容主流的构建方式和技术进行构建打包，元数据收集，制品安全扫描，制品推送

8套*年（订阅3年）

2.工作内容要求:

（1）原厂工程师提供系统配置和使用的指导培训，详细讲解系统的工作原理和运维事项；

（2）对后续的系统升级、系统调试、故障解答等提供技术支持；

（3）系统需提供对外接口，并为甲方后续开发系统调用该接口提供配置文档和技术支持。

（4）结合行业规范及厦航实际情况，配合甲方完成制品库落地方案设计。

3.人员要求：

项目实施人员资质应具有项目实施经验。

4.实施过程要求：

在合同会签后的5个工作日内完成厦航企业制品唯一可信源平台部署配置。

5.安全要求：

（1）供应商需确保产品和服务在投入使用后不会带来国家安全风险；

（2）供应商需确保甲方制品数据的安全性和保密性，不得查阅制品数据，不得以任何的方式传播我方制品数据；乙方需对以任何形式泄露和外传我方数据的后果负责。

六、报名供应商资质要求

1．具有法人资格或者具有独立承担民事责任的能力；

2．未被工商行政管理机关在全国企业信用信息公示系统中列入严重违法失信企业名单；

3．未被最高人民法院在“信用中国”网站（www.creditchina.gov.cn）列入失信被执行人名单；

4．能提供正规的的增值税专用发票；

5．谈判文件规定的其他资格要求；

6．法律、行政法规规定的其他条件。

7．不接受被列入厦航《供应商黑名单》或被厦航处罚不得参与采购项目的供应商报名。

8．投标供应商能提供原厂售后服务（提供原厂售后服务承诺函）；

9．投标供应商需具有近三年内同一制品库产品建设成功案例。（以项目合同及用户单位出具的能正常使用的证明材料为准）。

10．供应商能提供7×24小时电话、邮件、远程技术支持服务等，协助解答产品配置和使用的过程中出现的疑问和问题（提供服务承诺函）；

七、供应商报名步骤

凡满足公告供应商资质要求且有意愿参加的供应商参照如下步骤进行报名：

步骤一：请于本公告截止报名时间内，发送报名邮件至chenchanggai@xiamenair.com，抄送cgyw@xiamenair.com。其中：

邮件主题规范为“项目名称采购项目|供应商名称”；

邮件内容至少应包含联系人姓名、联系方式，其余内容自拟；

邮件附件上传本公告附件4：供应商基本情况（按要求填写）。

步骤二：邮件发送后立即登录厦门航空采购平台（网址https://bidding.xiamenair.com）进行注册报名并确认注册成功。注册时须上传附件2：供应商注册授权书，具体要求详见附件3：供应商端操作手册。

备注:

（1）注册过程有任何问题请致电0592-2175106咨询相关工作人员，请自行跟踪注册流程且在完成注册后告知项目经办人。

（2）若是厦航供应商库内的供应商无须注册，邮件内容告知即可。

（3）该环节仅是报名参加项目（非报价及获取标书环节），经审批入围参与项目资格后方可参与该项目竞标，后续采购经办人会告知具体系统操作事项。

八、报名截止时间

2023年1月16日16:00（北京时间）止，逾期的将不予受理。

九、供应商审核

1. 提供资料不全、不清晰、不符合要求、在厦门航空采购平台上未在规定时间内注册成功的或无法提供上述材料的有权不予审核。

2. 申请人必须保证上报材料的真实性，采购人或采购代理机构将保留核查（包括现场核查）的权力，对于弄虚作假的行为，采购人根据相关法律法规有权对申请报名的单位做如下处罚：

2.1取消其申请报名资格、取消其作为潜在供应商或报价资格；

2.2列入厦航《供应商黑名单》。

3.采购代理机构有权拒绝向资质不佳的供应商发出谈判邀请。

十、项目联系方式

项目经办人：陈先生

联系电话：15260226082

邮箱：chenchanggai@xiamenair.com

十一、采购监督反馈联系方式

电话：0592-2175100 邮箱：cgjd@xiamenair.com。

十二、本采购公告的解释权归厦门航空传媒科技有限公司。

特此公告。

附件1：厦门航空采购平台供应商注册公告

附件2：供应商注册授权书

附件3：供应商端操作手册

附件4：供应商基本情况

（附件下载地址：厦门航空有限公司官网>关于我们>采购公告）

厦门航空传媒科技有限公司

2023年1月9日

		记住	找回密码
密码			加入慢享