招标代理公司（立即查看） 受业主单位（立即查看） 委托，于2025-08-19在采购与招标网发布 中认英泰检测技术有限公司关于软件测试工具（包含硬件设备）的更正公告（六）。现邀请全国供应商参与投标，有意向的单位请及时联系项目联系人参与投标。 招标公告变更公告变更公告变更公告变更公告变更公告变更公告 一、项目基本情况原公告的采购项目编号：（略）-（略）JS（略）-（略） 原公告的采购项目名称：（略）测试工具（包含硬件设备） 首次公告日期：（略）-4-（略）二、更正信息更正事项：采购文件更正内容：（一）招标文件第四章招标书——四、采购需求——（二）技术要求，现做修改，详见更正公告附件。（二）招标文件第四章招标书——五、其他要求中第3点修改为如下：★3.（略）测试工具应满足GBT（略）.（略）-（略）与（略）质量要求评价SQuaRE第（略）部（略）:就绪可用（略）产品RUSP的质量要求和测试细则》和GBT（略）.（略）-（略）与（略）质量要求与评价SQuaRE第（略）与（略）产品质量测量》标准中关于性能效率指标要求，（略）络安全法规EN（略）》中安全指标要求，符合CMA资质认定和CNAS实验室认可。若因供应商所提供性能测试（略）的质量原因导致实验室CMA资质认定和CNAS实验室认可未通过，采购方有权要求供应商全额退款;供应商需提供承诺函。（三）本项目延期信息：一）投标文件接收信息：1、开始接收时间：（略）年9月3日（略）:（略）（北京时间）2、接收截止时间：（略）年9月3日（略）:（略）（北京时间）3、接收地址：（略）3（略）3（略）中航开标室二）开标有关信息：1、开标时间：（略）年9月3日9:（略）（北京时间）2、开标地址：（略）3（略）3（略）中航开标室更正日期：（略）-8-（略）三、其他补充事宜无。四、凡对本次公告内容提出询问，请按以下方式联系1.采（略）名称：中认英泰（略）公司联系人：（略）方式：电话（略）-（略）.采购代理机构信息（如有（略）单位地址：（略）3（略）3（略）联系人：（略）、蒲苗苗联系电话：（略）-（略）.项目联系方式项目联系人：（略）、蒲苗苗电话：（略）-（略）  更正公告附件： （二）技术要求采购名称数量主要参数要求参数web应用安全漏洞扫描工具）1套1.★支持第三方套件漏洞检测，包含但不限于Angular2.（略）.0、AngularJS、ApacheWebServer、ASP.NET、Axios、Backbone、Bootstrap、Chart.js、CKEditor、Cloudflare、d3.js、Dojo、Drupal、IBMWebSphere、IIS、JavaJDK、JavaJRE、Joomla、jQuery、LiteSpeed、Moment、Nginx、Node.js、OracleWebLogic、PHP、Python、React、Ruby、Tomcat、Underscore、WordPress各种主流Web技术的漏洞检测功能，覆盖web1.0，web2.0，web3.0等各技术栈的应用安全扫描，例如Angular2.（略）.0、Node.js、React等。（交付（略）时，漏洞库必须为交付时期最新的库，需要在投标文件中提供功能截图）2.★支持提供Python脚本来完成模糊测试，并提供模糊测试框架文档。（需要在投标文件中提供功能截图）3.★支持Burpsuite封包导入，重新自动化检视手动结果。（需要在投标文件（略）具备多种行业标准及合规性报告，包含但不限于OWASPTop（略）[（略）]、OWASPAPISecurityTop（略）[（略）]、WASC威胁（略）类2.0、国际标准-ISO系列、CWETop（略）、GDPR、HIPPA。1（略）具有对WebService的扫描能力，包含SOAP1.2、及REST等协议；具备以代理的方式收集Web流量进行应用安全测试；具备基于AJA（略）的Web应用的安全漏洞扫描能力。2（略）具有增量扫描与模糊测试能力，扫描策略库规则≥（略）条，并提供CVECWE编号映射关系表，且能将扫描结果（略）进行存储成独立档案并能存在外部储存装置，扫描结果文件要能重复使用并提供两次不同扫描结果差异性比较。3（略）支持定制化Web扫描策略模板，支持自定义规则，建立（略）进行定制化扫描，支持配置扫描深度及广度。4.支持将漏洞以高危、中危、低危等危害程度的（略）类，并可根据用户需要自定义漏洞等级。5（略）具备特权用户及行为越权检查功能，通过对不同权限用户的纵向的检查比较，寻找对Web应用中的越权行为检查。6（略）支持扫描流量线程控制机制，支持动态线程及固定线程控制功能，产（略）环境和服务器造成过量（略）其他服务器使用性能7（略）具备自定义word模板报告设计和生产（含封面、页眉、logo）；测试结果全面中文化。8（略）在Web应用安全扫描任务过程中，可进行动态实时日志（略）析。1（略）具备多因子认证处理能力，例如一次密码失效认证，人机检测认证和（略）PTCHA认证的web应用漏洞扫描能力；2（略）具备完（略）中文化操作接口、技术文件、修补建议、报告文档，可根据漏洞类型、风险（略）类等不同重点（略）漏洞检测报告，报告格式包含但不限于Word、PDF、Excel、CSV、（略）ML、HTML等。1（略）支持不同的登入方法，包括（略）记录、自动（略）、通过浏览器插件录制并导入及多种验证协议，（略）HTTP身份验证（例如Basic、Digest、NTLM、Negotiate或Kerberos（略）HTTP认证），（略）凭证及其他多因子校验认证等。2（略）支持对用户会话有效期进行设置。1（略）能够扫描Web服务的OpenAPI、GraphQL协议，能透过代理收集流量进行安全测试，支持Postman及SoapUI等外部工具进行集成进行配置与扫描。1（略）析报告具有预览功能，可以方便进行报告定制，并能将结果以Word、PDF、、Excel、CSV、（略）ML、HTML等格式（略）；1.（略）支持（略）版本在维保期内，自动或手动操作升级，重大漏洞需在CVE发布后（略）小时内提供热补丁。性能测试工具      1套1.许可证和授权:授权模式为永久授权。通过模拟成千上（略）虚拟用户实时并发负载及实时性能监测的方式来验证应用的性能，具备查找和定位性能（略）支持一年免费升级维护。支持Web协议（同时支持DevWeb、Web-（略）HTTPHTML）不低于（略）并发虚拟用户的性能测试。（需要在投标文件中提供功能截图）1.（略）可提供完（略）的性能测试工具集，具有测试脚本生成、测试场景设计与执行、测试过程资源监控、测试结果报告（略）析等功能模块。2.（略）在操作应用时可以通过录制的方式快速生成测试脚本。支持录制交互报文方式生成脚本，支持录制浏览器界面操作生成脚本，支持录制（略）操作生成脚本。3.（略）具备通过IP欺诈的方式在同一台压力发生机上模拟多个IP地址的功能。4.（略）可提供易用的测试脚本开发工具，使用C语言、Java语言等作为测试脚本的编程语言5.（略）自动录制生成脚本后，支持脚本自由转化，例如支持HTML-base和URL-base的脚本自由转化，无须重新录制。★1.（略）具有脚本关联功能，内置的关联规则，可进行定制关联规则。能自动扫描脚本或报文，智能化的主动做脚本关联（需要在投标文件中提供功能截图）1.（略）脚本参数化需具备多样的测试数据来源，参数化字段所需的测试数据可以从文本、excel表格直接导入。2.（略）具有测试脚本扩展能力，脚本支持调用外部DLL库或Jar包等第三方组件，除了录制方式生成脚本外，还可以完全支持手工编写脚本，工具中需自带脚本的编译器和调试功能。（略）可提供灵活的场景设计方式，用户可创建手工测试场景，配置基于用户数的测试，也可创建面向目标的场景，通过指定性能目标（例如每（略）钟交易数、交易响应时间、每秒钟（略）率等）自动配置场景，提供场景模板库。3.（略）具备个性化虚拟用户行为，能够模拟包括IE,Edge,Chrome，Firefox和Mobile等浏览器类型和缓存。（略）具备集合点智能调度算法，支持集合点的动态调（略）和优化。4.（略）具备设置同步点的功能，对测试脚本中的某一特定请求有针对性地让所有用户同步加压，并能够定义虚拟用户释放策略。1.（略）可提供交互式图形工具自定义多种测试场景，提供定时自动测试、递增式加压、随时间任意变化加压模式、多个脚本组合加压等，提供性能测试场景典型模板库。2.（略）内置资源监控功能，而非借助额外工具实现监控，确保监控数据的同步性。监控功能必须以无代理方式进行，不得在所需监控的资源服务器上安装任何代理，提供算力资源使用热力图。（略）内置监控器覆盖面广，具有对Windows，Linux，Network，Oracle，SQLServer，Apache，IIS等的实时监控。3.（略）具备测试报告格式多样性，自动生成基于Word、HTML、PDF等多种格式的中文测试报告，具备报告自动化（略）析功能，可根据预设规则自动生成性能瓶颈诊断报告。4.（略）内置自动关联（略）析工具，自动计算（略）析应用性能参数（如应用响应时间，应（略）性能指标，数据库性能指标等）之间的拟合匹配程度，支持多维度数据关联展示。5.（略）支持与Android、iOS手机设备通过产品安装所在计算机设备USB接口连接，导入（略），录制（略）等移动应用性能测试脚本。（略）支持（略）版本在维保期内，自动或手动操作升级。源代码扫描工具1套★1.覆盖实验室常见主流测试语言，须支持以下编程语言,包括ASP.NET,C,C++,C#,FlexActionScript,Java,JavaScriptAJA（略）,JSP,ObjectiveC,PLSQL,PHP,T-SQL,VB.NET,VBScript,VB6,（略）MLHTML，Python,ColdFusion,COBOL,ABAP,Ruby,Swift,Scala、Go、Kotlin等语言。（需要在投标文件中提供功能截图）                               2.支持对代码质量问题、代码安全问题进行扫描。★1.必须支持工具的IDE集成，如：VisualStudio、VSCode、IntelliJ、AndroidStudio、PyCharm、WebStorm、Eclipse等开发工具。（需要在投标文件中提供功能截图）2.工具需支（略），即可以安（略）中，如：Windows、Linux、MacOS等★3.工具的技术达到国际领先水平和领导者地位，需位于魔力象限的第一象限业界前列或为Forrester和IDC全球研究咨询权威机构的推荐工具厂商。★1.安全漏洞（略）析需拥有目前业界主要的权威和代码漏洞规则库。（略）的代码安全漏洞，工具能够支持检测的漏洞必须依从于最新的国际标准和规范，如OWASPTop（略）、PCIDSS、PCISSF、GDPR、MISRA、DISA、FISMA、CWE、SANS（略）等多项国际安全规范。（交付（略）时，漏洞库必须为交付时期最新的库，需要在投标文件中提供功能截图）★2.工具支持自定义规则功能，可按语义自定义规则，提供友好的图形化的自定义向导和编辑器等，支持xml、yaml等格式导入规则。（需要在投标文件中提供功能截图）1.需支持（略）集成。使安全测试、功能测试和性能测试发现的问题统一管理，与开发团队现有的流程相融合。支持和主流的黑盒Web应用安全测试产品进行黑白盒关联（略）析，具有强大的可扩展性，提高应用安全测试结果的准确性，并且得到精准的定位和修复。2.支持和主流的CICD工具集成，通过插件或者脚本方式发起检测。1.（略）支持（略）版本在维保期内免费进行版本升级，可选择自动或手动操作升级。1.为保证实验室测试效果不随着规则库滞后而下降，工具支持自动检测版本更新，漏洞规则库支持（略）定期自动更新，可以（略）和离线两种方式进行升级更新。2.支持IDE插