项目名称 | ****奔腾OA移动APP加固服务项目 | 企业名称 | **** | 发布时间 | 2024-11-19 |
类型 | 招标公告 | 项目实施地 | 无 | 所属行业 | 科教文卫 |
项目核准文号 | 无 | 资金来源 | 自有资金 | 开标时间 | 2024-11-25 09:30 |
****
奔腾OA移动APP加固服务项目采购公告
****采用竞争性谈判采购方式,采购奔腾OA移动APP加固服务项目,欢迎符合资格条件的供应商前来报名参加。
一、项目概述
(一)项目名称:****奔腾OA移动APP加固服务项目
(二)预算金额:10万元
(三)项目概述及技术要求:
本项目为****奔腾OA客户端安全整改项目,供应商需对所投项目完全响应,不得分解后响应。
服务项目需求一览表
编号 | 服务名称 | 数量 | 服务期限 | 备注 |
1 | Android加固服务 | 1 | 合同日起1年内同一APP不限次加固 | 不可使用进口技术加固 |
2 | IOS加固服务 | 1 | 合同日起1年内同一APP不限次加固 | 不可使用进口技术加固 |
3 | 鸿蒙应用加固服务 | 1 | 合同日起1年内同一APP不限次加固 | 不可使用进口技术加固 |
4 | 安卓、iso、鸿蒙应用测评服务 | 1 | 合同日起1年内同一APP不限次加固 | 不可使用进口技术加固 |
5 | 安卓、iso、鸿蒙应用合规服务 | 1 | 合同日起1年内同一APP不限次加固 | 不可使用进口技术加固 |
1、Android加固服务(一年) 是否允许进口:否
要求项 | 子项 | 具体要求参数 |
Android应用防代码逆向要求 | DEX加壳保护 | 支持对DEX文件进行整体加壳保护 |
DEX字符串加密 | 支持对DEX内的明文字符串进行加密保护 | |
DEX类动态保护技术 | 支持对DEX内的代码进行动态抽取加密,并且在类被执行时不解密类内全部代码,只对被执行到的方法函数进行解密 | |
DEX虚拟化保护技术 | 支持DEX虚拟化技术(VMP),能够将DEX代码转换为自定义的虚拟机指令,并以自定义虚拟机进行解释运行 | |
DEX全量虚拟化保护技术 | ★支持DEX全量虚拟化技术(ALL-VMP),能够将DEX代码的通过DEX虚拟化技术进行全量保护 | |
SO加壳保护 | 支持对SO进行加壳保护,防止反编译 | |
防查看伪代码 | ★支持对SO代码进行加密混淆,防止IDA的查看伪代码功能(IDA F5功能) | |
导入/导出函数隐藏 | 支持对SO内的函数表信息进行加密 | |
SO动态清除 | ★支持SO动态清除技术,能够在SO执行过程中动态清除内存中的函数符号 | |
SO防盗用绑定 | ★支持将SO文件同应用进行绑定,防止SO文件被非法盗用 | |
Android应用防二次打包要求 | 完整性保护 | 支持APK完整性验证,防止被非法篡改、二次打包 |
**文件加密 | 支持对应用内的**文件、配置文件进行完整性保护,防止被篡改 | |
签名验证 | 支持对APP的开发者签名进行验证,防止被篡改签名、非法发布 | |
Android应用防数据泄露要求 | 数据加密 | 支持对本次存储的数据库文件、JS文件、证书文件、配置文件等进行透明加密保护,防止查看和修改 |
Android应用防调试要求 | 防动态调试 | 支持防动态调试,防止利用调试技术或工具对应用进行内存动态调试 |
防内存注入 | 支持防内存注入,防止利用内存注入技术对应用进行恶意代码注入 | |
防内存dump | 支持防内存dump,防止通过内存dump的方式分析内存数据 | |
防xposed hook攻击 | 支持防止利用Xposed工具进行Hook攻击 | |
防Frida hook攻击 | 支持防止利用Frida工具进行Hook攻击 | |
Android应用环境风险检测与防护要求 | 防截屏 | 支持防止在应用运行过程中通过截屏非法窃取、捕获敏感数据,保护用户隐私数据安全、交易安全 |
防日志泄露 | 支持防止攻击者通过分析应用日志信息获取敏感信息 | |
防设备root | 支持设备Root检测,对应用运行环境进行检测,判断设备是否已经Root进,确认后能够阻止应用运行 | |
防模拟器 | 支持防止模拟器运行,对应用运行环境进行检测,判断是否运行在模拟器上,确认后能够阻止应用运行 | |
防应用多开 | 支持防APP多开,对应用运行环境进行检测,判断是否通过VirtualApp等工具双开、多开应用,确认后能够阻止应用运行 | |
防USB调试攻击 | ★支持防止通过USB连接电脑对手机应用进行调试 | |
防网络代理 | ★支持防止应用在开启网络代理的设备上运行 | |
防VPN | ★支持防止应用在开启VPN的设备上运行 | |
防屏幕模拟点击 | ★支持防止屏幕模拟点击脚本执行 | |
防定制化ROM | ★支持防止应用在定制化ROM运行 | |
防Android原生模拟器 | 防止APP在Android原生模拟器上运行 | |
防屏幕共享 | ★防止通过会议软件、远控软件共享应用屏幕 | |
加固服务统计报告 | 自动生成加固服务报告 | 自动生成包含指定时间范围内的加固各种数据的服务统计报告 |
服务形式要求 | 交付形式 | 支持SaaS在线云交付、支持私有云软件交付、支持本地一体机交付 |
使用方式 | 支持基于Web浏览器加固、支持API自动化集成工具加固、桌面客户端软件加固 | |
多语言系统 | ¢支持简体、繁体、英语、韩语系统语言。 |
2、IOS加固服务(一年) 是否允许进口:否
要求项 | 子项 | 具体要求参数 |
iOS应用加固支持语言要求 | Object-C/Object-C++ | 支持对Object-C/Object-C++代码的源到源加固 |
★Swift | 支持对Swift代码的源到源加固 | |
C/C++ | 支持对C/C++代码的源到源加固 | |
iOS防代码逆向要求 | ★控制流平坦化 | 支持在不改变语义的前提下,通过控制流平坦化将控制流进行混淆处理 |
★不透明谓词 | 支持对跳转逻辑的判断值进行隐藏,增加攻击者逆向分析的难度 | |
符号混淆 | 支持对代码内的类名、方法名、函数名进行加密混淆 | |
★字符串加密 | 支持对字符串进行加密 | |
★虚假控制流 | 支持增加新的虚假控制分支,加大破解和分析原始控制流的难度 | |
多样性混淆 | 支持随机化混淆,每次混淆代码不一样 | |
★防反编译 | 防基于IDA、Hooper工具对iOS应用的反编译 | |
防chatGPT逆向 | 防止通过chatGPT AI工具对加固后的代码进行逆向 | |
iOS应用防调试要求 | ★静态防调试 | 在源代码内添加防调试校验代码,在函数执行时触发该保护功能,防止继续调试 |
★静态防Inline Hook | 在源代码内添加防Inline Hook校验代码,在函数执行时触发该保护功能,防止Inline Hook攻击 | |
★静态防Swizzling Hook | 在源代码内添加防Swizzling Hook校验代码,在函数执行时触发该保护功能,防止Swizzling Hook攻击 | |
★静态防Frida hook攻击 | 在源代码内添加防Frida hook校验代码,在函数执行时触发该保护功能,防止Frida hook攻击 | |
★静态防Cycript注入 | 在源代码内添加防Cycript校验代码,在函数执行时触发该保护功能,防止Cycript攻击 | |
★静态防Reveal注入 | 在源代码内添加防Reveal校验代码,在函数执行时触发该保护功能,防止Reveal攻击 | |
★静态代码完整性保护 | 在源代码内添加防代码篡改校验代码,在函数执行时触发该保护功能,防止代码完整性被破坏 | |
¢实时防调试 | 在APP运行时开启自动守护功能,随时对调试行为进行监测和阻断 | |
¢实时防hook | 在APP运行时开启自动守护功能,随时对hook行为进行监测和阻断 支持防Inline Hook 支持防Swizzling Hook 支持防fishhook | |
¢实时完整性保护 | 在APP运行时开启自动守护功能,对代码段进行完整性 | |
iOS应用防二次打包要求 | 绑定App包名 | 支持绑定app包名,篡改App包名将会导致应用运行闪退 |
绑定App签名 | 支持绑定app签名,篡改App签名将会导致应用运行闪退 | |
iOS应用环境风险检测与防护要求 | 防设备越狱 | 支持自动检测设备是否越狱,在已越狱的设备上自动阻止App运行 |
★防AirPlay投屏 | 支持对AirPlay投屏行为进行检测,当存在AirPlay投屏行为时阻断App的运行,防止用户被进行远程诱导性欺诈。 | |
防日志泄露 | 支持对代码内的系统日志输出进行阻断,防止敏感信息泄漏 | |
★APP模糊化保护 | 支持App后台切换过程的屏幕模糊化,防止信息泄漏 | |
★https证书校验 | 校验https证书的合法性,防止中间人攻击 | |
★防位置伪造 | 支持自动检测设备是否进行了位置伪造,当APP在伪造位置的设备上运行时,APP会闪退处理,保护APP内依赖精准位置的业务不受位置信息篡改影响。 | |
防网络代理 | 支持自动检测是否存在网络代理设置,当发现APP在启用网络代理的环境上运行时,APP会闪退处理,防止基于代理的抓包分析。 | |
★防共享屏幕 | 支持自动检测是否存在软件共享屏幕行为,在共享屏幕时运行APP会闪退处理,防止基于屏幕共享软件的远程信息窃取、诈骗攻击。 | |
防模拟器 | 支持自动检测是否在苹果电脑模拟器上运行,当APP运行在模拟器上时会闪退处理,防止基于模拟器的各种越权攻击。 | |
★证书文件加密 | 支持对证书文件加密,防止对证书文件的非法读取 | |
★证书文件绑定 | 支持对证书文件的绑定,自动绑定应用包名和签名,防止被非法盗用 | |
防截屏 | 支持检测截屏行为并弹窗提醒 | |
防VPN | ★防止通过VPN环境抓包分析 | |
防苹果电脑运行 | ★防止应用在苹果电脑(M芯片)上运行 | |
防屏幕点击 | ★防止模拟屏幕点击脚本 | |
操作要求 | 文本配置黑白名单 | 支持通过文本框形式直接快速输入黑白名单参数 |
树装配置黑白名单 | 支持通过树状目录形式直接选择黑白名单范围 | |
iOS应用加固后审计与定位要求 | ¢加固结果可视化 | 支持加固后输出的是混淆加密的源代码,能够直观查看加固后的代码。 |
¢代码逐行定位问题 | 支持代码逐行调试代码,准确、快速定位问题 | |
★SourceMap源代码溯源功能 | 加固后支持查看出问题的加固代码所对应的原始代码行号 | |
服务形式要求 | ¢交付形式 | 支持SaaS在线云交付、支持私有云软件交付、支持本地一体机交付 |
使用方式 | 支持基于桌面软件加固、支持命令行自动化加固 | |
¢多语言系统 | 支持简体、英语系统语言。 |
3、鸿蒙应用加固服务(一年) 是否允许进口:否
要求项 | 子项 | 具体要求参数 |
方舟TypeScript代码加固(ArkTS) | 鸿蒙ArkTS代码文件整体混淆 | 支持对ArkTS代码文件进行整体的深度混淆加固,防止攻击者对ArkTS代码文件的逆向破解。 |
鸿蒙ArkTS代码控制流平坦化混淆 | 支持对ArkTS代码内的代码分支、控制流程进行扁平化、平坦化混淆,让攻击者无法理解原代码处理流程和逻辑关系,防止攻击者对ArkTS代码的逆向破解。 | |
鸿蒙ArkTS代码变量字符串加密 | 支持对ArkTS代码内通过全局变量赋值的字符串内容进行加密处理,防止如url、密钥等敏感字符串信息被攻击者读取和恶意利用。 | |
鸿蒙ArkTS代码函数字符串加密 | 支持对ArkTS代码函数体内引用的字符串内容进行加密处理,防止如用户名、姓名、账号等敏感字符串信息被攻击者读取和恶意利用。 | |
鸿蒙ArkTS代码参数名称混淆 | 支持对ArkTS代码的参数名称进行混淆处理,增加代码的不可阅读性,防止攻击者对ArkTS代码文件的逆向破解。 | |
鸿蒙ArkTS代码变量名称混淆 | 支持对ArkTS代码的变量名称进行混淆处理,增加代码的不可阅读性,防止攻击者对ArkTS代码文件的逆向破解。 | |
鸿蒙ArkTS文件加固范围自定义功能 | 支持指定不参与加固处理的ArkTS文件,支持正则表达式匹配规则,通过屏蔽无必要加固的文件,提高鸿蒙应用加固处理效率。 | |
鸿蒙ArkTS字符串加密范围自定义功能 | 支持指定ArkTS代码内不参与字符串加密的字符串,支持正则表达式匹配规则,通过屏蔽无必要加固的字符串,提高鸿蒙应用加固处理效率。 | |
标准TypeScript代码加固(TS) | 标准TS代码文件整体混淆 | 支持对TS代码文件进行整体的深度混淆加固,防止攻击者对TS代码文件的逆向破解。 |
标准TS代码控制流平坦化混淆 | 支持对TS代码内的代码分支、控制流程进行扁平化、平坦化混淆,让攻击者无法理解原代码处理流程和逻辑关系,防止攻击者对TS代码的逆向破解。 | |
标准TS代码变量字符串加密 | 支持对TS代码内通过全局变量赋值的字符串内容进行加密处理,防止如url、密钥等敏感字符串信息被攻击者读取和恶意利用。 | |
标准TS代码函数字符串加密 | 支持对TS代码函数体内引用的字符串内容进行加密处理,防止如用户名、姓名、账号等敏感字符串信息被攻击者读取和恶意利用。 | |
标准TS代码参数名称混淆 | 支持对TS代码的参数名称进行混淆处理,增加代码的不可阅读性,防止攻击者对TS代码文件的逆向破解。 | |
标准TS代码变量名称混淆 | 支持对TS代码的变量名称进行混淆处理,增加代码的不可阅读性,防止攻击者对TS代码文件的逆向破解。 | |
标准TS文件加固范围自定义功能 | 支持指定不参与加固处理的TS文件,支持正则表达式匹配规则,通过屏蔽无必要加固的文件,提高鸿蒙应用加固处理效率。 | |
标准TS字符串加密范围自定义功能 | 支持指定TS代码内不参与字符串加密的字符串,支持正则表达式匹配规则,通过屏蔽无必要加固的字符串,提高鸿蒙应用加固处理效率。 | |
C/C++代码加固 | SO文件高级防逆向加固 | 支持对C/C++开发的SO文件的高级防逆向保护处理,防止对核心SO文件的逆向破解。 |
4、应用测评 (含安卓、iso、鸿蒙 一年不限检测次数) 是否允许进口:否
要求项 | 子项 | 具体要求参数 |
检测能力 | 检测对象 | ★产品具备Android、iOS、Android SDK、iOS SDK、鸿蒙、微信小程序、微信公众号、web应用、源码的漏洞扫描能力。 |
检测方式 | 支持静态代码反编译与动态沙箱模拟攻击相结合的方式进行检测 | |
动态检测 | 支持至少18项动态检测项,包括但不限于:篡改二次打包风险、应用签名未校验风险、数据库注入漏洞、动态调试攻击风险、http报文信息泄露风险、界面劫持风险、本地端口开放越权漏洞、ContentProvider数据泄漏漏洞、动态注入攻击、root设备运行检测、模拟器运行检测等、★Content Provider导出组件目录遍历漏洞、★SharedPreferences文件中存储敏感信息、★SQLite数据库中明文存储敏感信息、Activity导出组件拒绝服务漏洞、Service导出组件拒绝服务漏洞、Broadcast Receiver导出组件拒绝服务漏洞、Frida HOOK运行风险。 | |
Android检测 | 覆盖检测对象 | 支持提交apk、aab格式的应用提交检测 |
检测项数量及覆盖类别 | 支持至少150项测评项,覆盖自身安全、程序源文件安全、本地数据存储安全、通信数据传输安全、身份认证安全、内部数据交互安全、恶意攻击防范能力、第三方SDK信息、内容安全、应用优化建议等十项类别。 | |
基本信息 | 支持全自动化识别应用基本信息,信息维度包括但不限于APK文件名、软件名称、包名、软件大小、软件版本、MD5、签名信息、targetSdkVersion、minSdkVersion、分析时间等。 | |
权限信息 | 支持全自动化识别检测App的权限信息,包括申请的权限范围和使用权限范围,需要提供敏感权限、普通权限、自定义权限三大类别权限结果。 | |
行为信息 | 支持app行为信息检测,并输出行为函数名称、行为描述、行为风险等级、行为信息定位等信息。 可识别行为包括但不限于动态加载、删除文件、读写文件、反射调用等 | |
病毒扫描 | ★具备至少3种病毒引擎的检测能力,支持提供检测出的病毒信息及具体定位。 | |
第三方SDK信息 | ★SDK分类基于《网络安全标准实践指南-移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》的常见SDK类型的标准分类。 SDK信息可单独显示,报告显示信息至少包含SDK名称、开发者、类别、包名、描述、来源地址等6个维度信息。 | |
加固壳识别 | 能够识别至少15家主流加固厂商的加固特征 | |
界面劫持风险 | ★支持动态运行检测应用是否存在界面劫持风险,并可以提供界面劫持成功截图或日志信息 | |
自身安全检测 | 检测移动应用程序的基本信息,全景化呈现应用基本权限行为的声明和使用状态。检测项包括但不限于:基本信息、权限信息、行为信息、**文件中的apk文件、权限过度声明风险、未保护的自定义权限风险、★应用测试模式发布风险、★来源安全检测、★应用权限安全、★控制力安全检测、越权行为检测等 | |
程序源文件安全 | 检测移动应用程序的源文件可能面临的安全风险。平台检测项包括但不限于:加固壳识别、java代码反编译风险、so文件破解风险、篡改和二次打包风险、Janus签名机制漏洞、**文件泄露风险、应用签名未校验风险、代码未混淆风险、使用调试证书发布应用风险、仅使用Java代码风险、启动隐藏服务风险、应用签名算法不安全风险、单元测试配置风险、xml**文件泄露风险、★友盟SDK越权漏洞、★恶意URL检测、txt**文件敏感信息泄露风险、lua**文件敏感信息泄露风险、html**文件敏感信息泄露风险、★SharedPreferences文件中存储敏感信息、★SQLite数据库中明文存储敏感信息、★SQLite数据库缺少加密保护等。、★SO库导出符号泄露风险检测 | |
本地数据存储安全 | 检测移动应用本地数据存储可能面临的安全风险及漏洞。平台检测项包括但不限于:Webview明文存储密码风险、WebView存在潜在跨站脚本攻击风险、允许Webview访问本地任意脚本、明文数字证书风险、调试日志函数调用风险、数据库注入漏洞、RSA加密算法不安全使用漏洞、密钥硬编码漏洞、动态调试攻击风险、Webview远程调试风险、应用数据任意备份风险、敏感函数调用风险、数据库文件任意读写漏洞、全局可读写的内部文件漏洞、SharedPreferences数据全局可读写漏洞、SharedUserld属性设置漏洞、Internal Storage数据全局可读写漏洞、getDir数据全局可读写漏洞、FFmpeg文件读取漏洞、Java层动态调试风险、剪切板敏感信息泄露漏洞、内网测试信息残留漏洞、随机数不安全使用漏洞、代码残留URL信息检测、残留账户密码信息检测、残留手机号信息检测、残留Email信息检测、★明文泄漏风险、StrandHogg漏洞、ECB模式的AES/DEA加密方法不安全使用漏洞、OFB模式的AES/DEA加密方法不安全使用漏洞、外部储存卡存储数据风险、★私有IP地址暴露风险、★字节数组与字符串转换风险、★允许用户控制密钥长度风险、★初始化向量硬编码风险、SD卡数据泄露风险检测、★TDES加密算法不安全使用风险等 | |
通信数据传输安全 | 检测移动应用的通信数据传输中可能面临的安全隐患。平台检测项包括但不限于:HTTP传输数据风险、HTTPS未校验服务器证书漏洞、HTTPS未校验主机名漏洞、HTTPS允许任意主机名漏洞、Webview绕过证书校验漏洞、HTTP报文信息泄露风险、互联网环境检测、启用VPN服务检测、访问非中国内地服务器风险、★通信套接字安全等。 | |
身份认证安全 | 检测移动应用在身份认证上可能存在关键信息泄露的风险。平台检测项包括但不限于:界面劫持风险、输入监听风险、截屏攻击风险等 | |
内部数据交互安全 | 检测移动应用内部数据在内部组件交互过程中可能面临的风险漏洞。平台检测项包括但不限于:动态注册Receiver风险、Content Provider数据泄露漏洞、本地端口开放越权漏洞、Pendinglntent错误使用Intent风险、Intent组件隐式调用风险、反射调用风险、用户隐私信息检测、Activity组件导出风险、Service组件导出风险、Broadcast Receiver组件导出风险、Content Provider组件导出风险、Android-gif-Drawable远程代码执行漏洞、Fragment注入攻击漏洞、Intent Scheme URL攻击漏洞、★覆盖权限验证风险、★仅定义Provider writePermission风险、★混淆代理人攻击风险、★未配置网络安全属性风险、★Receiver权限未指定风险、★Broadcaster权限未指定风险、★缺少导出的标志或组件权限、★ContentProvider访问路径不安全配置风险、★粘滞广播使用风险、★so包含执行命令函数风险等 | |
恶意攻击防范能力 | 通过动静态检测手段,分析移动应用对于恶意攻击手段的防范能力。平台检测项包括但不限于:"应用克隆"漏洞攻击风险、动态注入攻击风险、Webview远程代码执行漏洞、未移除有风险的Webview系统隐藏接口漏洞、zip文件解压目录遍历漏洞、下载任意apk漏洞、Activity导出组件拒绝服务漏洞、Service导出组件拒绝服务漏洞、Broadcast Receiver导出组件拒绝服务漏洞、从sdcard加载dex风险、从sdcard加载so风险、未使用编译器堆栈保护技术风险、未使用地址空间随机化技术风险、模拟器运行风险、Root设备运行风险、不安全的浏览器调用漏洞、"寄生体"云控风险检测、★运行其他可执行程序漏洞、★libupnp缓冲区溢出漏洞 ★Intent重定向漏洞、★Content Provider导出组件目录遍历漏洞、★fastjson反序列化远程代码执行漏洞、★fastjson远程命令执行漏洞、★UnityGhost漏洞、★**云OSS凭证泄露、Frida hook运行风险(动态检测)等 | |
HTML5安全 | 支持检测集成Html5语言框架开发的app。平台检测项包括但不限于:Web Storage数据泄露风险、WebSQL注入漏洞、InnerHTML的XSS攻击漏洞等 | |
内容安全 | 支持检测应用代码层面的敏感信息。检测项包括但不限于:敏感词信息、敏感图片检测、敏感文本检测 | |
优化建议 | 支持检测应用在开发规范、加密等级升级等配置情况。检测项包括但不限于:全局异常检测、IP地址检测、国密算法检测、SharedPreferences使用commit提交数据检测、自启行为检测 | |
iOS检测 | 检测项数量及覆盖类别 | ★支持至少68项测评项,覆盖自身安全、二进制代码保护、客户端数据存储安全、数据传输安全、加密算法及密码安全、程序源文件安全和iOS应用安全规范、内容安全、HTML5安全、第三方SDK、身份认证安全等检测类别。 |
自身安全检测 | 支持检测移动应用基本信息,全量化输出应用权限、行为、架构等信息。检测项包括但不限于:基本信息、权限信息、行为信息、证书类型检测、无法上架App Store风险、编译架构检测等。 | |
二进制代码保护 | 支持检测移动应用二进制代码保护情况。检测项包括但不限于:代码未混淆风险、未使用地址空间随机化技术风险、未使用编译器堆栈保护技术风险、注入攻击风险、可执行文件被篡改风险。 | |
客户端数据存储安全 | 支持检测移动应用客户端数据存储安全。检测项包括但不限于:动态调试攻击风险、输入监听风险、调试日志函数调用风险、webview组件跨域访问风险、越狱设备运行风险、数据库明文存储风险、动态库信息泄露风险、★FFmpeg文件读取漏洞、★出口合规证明、★明文泄漏风险、★残留Email信息检测、★残留手机号信息检测、★日志泄漏风险检测、★cer证书文件未加密风险、★私钥存储文件未加密风险 | |
数据传输安全 | 支持检测移动应用数据传输安全情况。检测项包括但不限于:HTTP传输数据风险、HTTPS未校验服务器证书漏洞、URL Schemes劫持漏洞、联网环境检测 | |
加密算法及密码安全 | 检测项包括但不限于:AES/DES加密算法不安全使用漏洞、弱哈希算法使用漏洞、随机数不安全使用漏洞 | |
程序源文件安全 | 检测项包括但不限于:明文字符串泄露风险、外部函数显式调用风险、系统调用暴露风险、创建可执行权限内存风险、篡改和二次打包风险、SQLite内存破坏漏洞、格式化字符串漏洞、txt**文件敏感信息泄露风险、★lua**文件敏感信息泄露风险、html**文件敏感信息泄露风险、xml**文件敏感信息泄露风险、js**文件敏感信息泄露风险、★**文件泄漏风险、★代码反编译风险 | |
iOS应用安全开发规范 | 检测项包括但不限于:XcodeGhost感染漏洞、不安全的API函数引用风险、Private Methods使用检测、ZipperDown解压漏洞、iBackDoor控制漏洞、未使用自动管理内存技术风险、内存分配函数不安全风险、自定义函数逻辑过于复杂风险、★UnityGhost漏洞、★xcode版本检查、★使用企业证书发布应用风险检测、★Intel模拟器运行风险 | |
HTML5安全 | 检测项包括但不限于:Web Storage数据泄露风险、 InnerHTML的XSS攻击漏洞 | |
第三方SDK | ★SDK分类基于《网络安全标准实践指南-移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》的常见SDK类型的标准分类。 SDK信息可单独显示,报告显示信息至少包含SDK名称、开发者、类别、描述、来源地址等5个维度信息。 | |
身份认证安全 | 检测iOS应用在★共享屏幕和★airplay投屏场景下的信息泄露的风险。 | |
内容安全 | 支持检测应用代码层面的敏感信息。检测项包括但不限于:敏感词信息 | |
检测对象 | 支持上传aar、★zip、★rar、★jar格式的SDK文件进行检测 | |
★鸿蒙检测 | 检测对象 | 支持上传hap格式的鸿蒙应用文件进行检测, |
检测项数量及覆盖类别 | 支持不少于100项检测项,检测类别覆盖本地数据存储安全、内部数据交互安全、通信数据传输安全、程序源文件安全、自身安全、恶意攻击防范、优化建议、HTML5安全、身份认证安全 | |
自身安全 | 检测项包括但不限于:基本信息、权限信息、★缺少权限申请理由、★应用使用的权限未定义、★自定义权限以ohos开头风险、★动态类加载路径检测等、第三方SDK检测、控制力安全、未保护的自定义权限风险、应用权限安全、权限过度声明、敏感词检测等。 | |
通信数据传输安全 | 检测项包括但不限于:HTTPS未检验主机名漏洞、明文流量传输、HTTPS未校验服务器证书漏洞、WebView绕过证书校验漏洞、WebView加载任意url风险、HTTPS允许任意主机名漏洞、互联网环境检测、访问境外服务器检测、通信套接字安全、HTTP传输数据风险、启用vpn服务检测、WebView绕过证书校验风险等。 | |
程序源文件安全 | 检测项包括但不限于:★初始化向量硬编码风险、代码未混淆风险、so文件破解风险、未使用地址空间随机化技术风险、未使用编译器堆栈保护技术风险、Java代码反编译风险、仅使用Java代码风险、恶意URL检测、加固壳识别、应用签名算法不安全风险、单元测试配置风险、友盟SDK越权漏洞等。 | |
本地数据存储 | 检测项包括但不限于: 应用数据任意备份风险、密钥硬编码漏洞、调试日志函数调用风险、RSA加密算法不安全、随机数不安全使用漏洞、剪切板敏感信息泄露、代码残留URL信息检测、内网测试信息残留漏洞、明文数字证书风险 数据库文件任意读写漏洞、 允许用户控制密钥长度风险、 ECB模式的AES/DEA加密方法不安全使用漏洞、 ffmpge文件读取漏洞、 getDir数据全局可读写漏洞、 全局可读写的内部文件漏洞、 Hash算法不安全、 Internal Storage数据全局可读写漏洞、 OFB模式的AES/DEA加密方法不安全使用漏洞、 内网IP地址泄露风险、 残留Email信息、 敏感函数调用风险、 残留账户密码信息检测、 残留手机号信息检测、 SharedPreferences数据全局可读写漏洞、 外部储存卡存储数据风险、 字节数组与字符串转换风险、 WebView BadKernel远程代码执行漏洞、 Webview File域同源策略绕过、 WebView远程调试风险、 WebView明文存储密码风险等。 | |
内部数据交互安全 | 检测项包括但不限于:★Page组件导出风险、Data组件导出风险、★Service组件导出风险、★公共事件劫持风险、★公共事件订阅检测、★DataAbility设置合理的读写权限、 Android-gif-Drawable远程代码执行漏洞、 Intent Scheme URL攻击漏洞、 覆盖权限验证、 ★page劫持检测、 PendingIntent错误使用Intent风险、 权限检查、 反射调用风险等 | |
恶意攻击防范能力 | 检测项包括但不限于:zip文件解压目录遍历漏洞、“寄生推”云控风险、不安全的浏览器调用、运行其他可执行程序漏洞、从sdcard加载dex风险、从sdcard加载so风险、libupnp缓冲区溢出漏洞、未移除有风险的Webview系统隐藏接口漏洞、Webview远程代码执行漏洞等。 | |
优化建议 | 检测项包括但不限于:全局异常捕获处理、IP地址检测、SharedPreferences使用commit提交数据检测、自启行为、SM2国密算法检测、SM3国密算法检测、SM4国密算法检测等。 | |
HTML5安全 | 检测项包括但不限于:innerHTML的漏洞、Web Storage数据泄露风险、 WebSQL漏洞 | |
身份认证安全 | 检测项包括但不限于:使用调试证书发布应用风险、截屏攻击风险 | |
平台功能 | 数据统计 | ¢支持统计账号提交总任务数量、月度任务数量、风险总数量、问题总数量等数据信息。 ¢任务数据与样本统计支持以图表方式展现近一个月内数据趋势。 |
¢支持以日、周、月维度统计应用安全性,应用平均得分 ¢支持以月度为单位,以图表形式体现应用得分分布图 ¢支持以月度为单位,图表形式展示各个检测项目的风险检出率 ¢支持以月度为单位查询单个检测项的风险检出率,及存在此风险的相关被检测应用信息。 | ||
批量操作 | ★支持批量下载word、excel、pdf格式的检测报告 | |
支持批量提交不少于50个应用进行检测 | ||
支持批量下载被检测应用源文件(apk、ipa、aar、zip、jpg、png等) | ||
¢支持批量统计分析,可对至少50个应用的测评结果统计分析,并且以报告的形式展示,包括应用得分、问题项目发生占比等。 | ||
任务日志 | ||
版本管理 | ¢支持应用安全性版本管理,支持应用不同版本之间安全性对比图表展示,支持输出版本对比分析报告; | |
检测结果编辑 | ★支持在线编辑检测结果,可编辑内容包括但不限于安全与否、存在漏洞的文件详情、人工验证截图上传等,支持输出编辑完成后的最终版报告。 | |
检测源数据导出 | 支持Android检测结果源数据导出,支持根据用户账号、检测时间进行筛选,导出相应的检测结果源数据excel。 | |
检测模板 | 支持系统自带模板 支持用户自定义增删检测模板 ★检测模板可根据检测方式(动态、静态)、报告语言、报告输出类型等维度灵活配置检测项目。 ★支持导出检测模板 | |
用户管理 | 支持用户在授权范围内自定义角色分工,并自主创建账号,实现多用户管理功能,至少提供管理员和普通用户两种角色 | |
管理功能 (仅支持私有化部署场景交付) | ★支持自定义检测规则,根据业务需求自主更改检测项分值、分级标准、风险等级、风险描述、检测步骤、修复建议等信息,并支持导入导出备份功能 | |
★支持Android应用通过路径匹配、模糊匹配、文件匹配等方式,对部分检测项或全局检测项设置白名单,并提供相关增删改查管理功能 | ||
支持设置Android/iOS应用敏感词库管理功能,可自定义增删改敏感词库内容。 | ||
支持自定义修改平台界面UI设置,包括但不限于:平台登录背景图、logo、平台介绍、平台名称等信息 | ||
支持自定义报告内容,包括但不限于:报告标题、logo、水印、附录、公司介绍信息等。 | ||
支持产品授权更新功能 | ||
支持磁盘管理功能,可通过平台定期自动/手动清理系统各类缓存信息,释放系统空间,维持系统运行内存稳定。 | ||
支持检测任务队列调整,管理员可一键置顶或取消某项排队中任务。 | ||
★支持Android SDK的后台配置管理,可自主添加或删除第三方SDK,添加后的SDK支持在App中进行识别和安全检测。 | ||
日志管理 | ★支持查看导出用户操作日志 | |
★支持单个任务运行日志信息下载。适用检测对象:Android、aab、iOS、Android SDK、iOS SDK、鸿蒙、小程序/公众号 | ||
报告输出 | 支持在线预览查看报告内容,报告内容包括:检测评分、检测数据总览、检测数据图表、检测结果详情等信息 | |
检测项支持查看风险描述、风险等级、检测结果、检测步骤、检测详情(定位至文件,可输出有风险代码段或日志信息)、修复建议等信息 | ||
★支持在线编辑报告内容,并重新生成编辑后的报告。 | ||
★提交apk检测时,支持单独输出其集成的第三方SDK风险信息。第三方SDK风险报告支持在线查看及报告下载。 | ||
★支持按风险等级、检测结果维度显示报告信息,并生成对应的简版测评报告 | ||
★支持输出单个应用多版本安全检测结果分析报告 | ||
★支持自动化输出对标OWASP Mobile TOP10的检测报告。 | ||
底层引擎支持 | SDK库 | ★Android SDK信息库存量至少6000+ ★iOS SDK信息库存量至少1000+ |
5、应用合规 (含安卓、iso、鸿蒙 一年不限检测次数) 是否允许进口:否
要求项 | 子项 | 具体要求参数 |
App基本信息检测 | Android基本信息 | 支持检测并列出Android App的基础信息,包括但不限于:软件名称、包名、类型、软件大小、软件版本、targetSdkVersion、minSdkVersion、签名信息,安装包文件名、散列值(MD5、SHA-1、SHA-256)、App是否加固 |
iOS 基本信息 | 支持检测并列出iOS App的基础信息,包括但不限于:软件名称、包名、类型、软件大小、软件版本、签名信息,安装包文件名、散列值(MD5、SHA-1、SHA-256) | |
静态权限检测 | Android声明权限 | ¢分析列出Android App声明的权限,提供权限名称、权限含义、权限类型、保护级别、是否为敏感权限、是否使用、是否为可收集个人信息权限 |
iOS声明权限 | 分析列出iOS App声明的权限,提供权限名称、权限含义、是否使用、是否为可收集个人信息权限等信息; | |
使用权限 | 列出App及SDK在运行过程中可能使用的权限(静态分析) | |
列出使用权限所对应的代码路径、关键代码、代码片段(仅适用Android) | ||
声明权限但未使用情况 | 检测并列出App声明但在运行期间可能未使用的权限,提供权限含义、权限类型、保护级别、是否为敏感权限等信息; | |
成分检测 | Android SDK信息 | 检测并列出Android App集成的SDK的名称、包名、开发者、类别、描述、来源等信息; |
iOS SDK信息 | 检测并列出iOS App中集成的SDK的名称、开发者、类别、描述、来源等信息; | |
行为检测 | 数据通信情况 | 提供App进行数据通信的域名、IP地址、IP归属地、检测状态、协议、通信次数等信息,支持查看数据通信的具体内容; |
个人信息明文传输行为 | 支持检测App的网络数据通信及cookie中是否明文传输了个人信息 | |
数据跨境传输行为 | 检测App是否存在数据跨境传输行为; | |
个人信息明文存储行为 | 列出App存储明文个人信息的情况,包括:时间、代码片段、存储位置、明文个人信息、个人信息类别,明文个人信息以红色区分; | |
个人信息采集行为 | 列出App在检测过程中的个人信息采集行为,行为所依赖的权限、行为发生的时间、总次数、平均每分钟发生的最高次数,提供对应行为的堆栈信息,便于问题定位; | |
支持根据行为名称进行筛选;支持根据检测状态进行筛选;支持从“行为”“主体”两种维度展示个人信息采集行为; | ||
声明权限但未使用情况 | 检测并列出App声明但在运行期间可能未使用的权限,提供权限含义、权限类型、保护级别、是否为敏感权限等信息; | |
自启动/关联启动行为 | 检测App是否存在自启动/关联启动行为(Android) | |
热更新能力检测 | 支持检测App是否存在热更新能力(Android) | |
一揽子授权行为 | 检测App是否存在一揽子授权行为(Android) | |
合规检测 | 隐私政策 | 自动合规检测时支持对App隐私政策文本进行自动化获取及显示,支持手动上传App隐私政策 |
合规评估 | ★内置191号文、164号文、165号文、292号文、26号文、自评估指南、国标35273、国标41391等多套合规检测模板,可依据检测模板对移动应用程序进行合规检测,输出word、pdf报告 (2)支持在Web页面进行人工检测并编辑合规检测结果,输出全量合规检测报告 | |
深度 | 自动化脱壳 | |
产品基础功能 | 首页统计视图 | ¢支持展示应用检测数据统计信息,对检测趋势及问题情况进行统计预览,方便呈现总体检测情况:支持显示最近7天/最近30天/最近90天/全部时间检测的APP数量;支持统计显示被测APP总数、已完成检测的App总数、待检测任务总数、待人工介入的应用数;支持统计显示App中集成的SDK、使用权限、不合规行为TOP10排行; |
样本管理 | 新增样本上传方式:支持本地单个/批量上传与URL单个/批量下载方式上传,支持显示上传进度; | |
支持根据时间、应用名称、应用类型、平台类型进行查询; | ||
支持单个/批量应用的下载、删除; | ||
任务管理 | 支持进行单个/批量检测,每个检测应用支持显示子任务状态, | |
★支持查看实时检测详情, 方便用户在测试过程中实时查看应用行为,能够提升测试效率及合规评估效果(截图) | ||
支持对任务进行单个/批量终止、删除、重新检测、下载报告; | ||
支持根据任务名称、应用名称、创建者、检测时间、平台类型、任务类型、任务状态等条件进行筛选; | ||
人工检测时支持页面录屏功能,用于证据留存; | ||
人工检测时支持横竖屏切换 | ||
★任务类型支持:全自动、自动+人工、纯人工 三种方式,满足批量自动化检测与人工深度检测场景,人工可对自动化合规检测结果进行审核修订,大大降低提升合规检测效率;(iOS目前只支持纯人工任务类型)(截图) | ||
支持对应用不同版本之间检测结果进行对比,帮助用户分析不同版本的集成SDK、权限及合规结果的差异。 | ||
报告管理 | 支持对已完成任务生成的报告进行统一管理,支持单个/批量下载已完成任务的报告,含Word与PDF格式;支持重新生成报告,自定义输出检测内容; | |
报告模板配置,支持创建报告模板,自定义报告模板名称、报告标题、logo、封面、页眉、页脚、单位名称、公司介绍; | ||
真机管理 | ¢支持对平台所连接的检测真机进行管理查看,修改用途,方便用户及时了解真机**使用情况,并及时配置真机属性 | |
知识库管理 | 支持查询下载常见合规标准政策原文 | |
内容识别配置 | (1)内容识别配置支持自定义内容识别关键字 (2)支持对内置规则进行编辑、删除、启用、禁用 | |
合规检测策略配置 | ★支持自定义合规检测项、检测点 | |
合规检测模板配置 | ★支持自定义配置增加合规检测模板 | |
SDK配置 | 支持自定义添加SDK,提升SDK识别能力 | |
IP地址归属地配置 | 支持用户自主配置IP地址与归属地映射关系,形成适合用户的IP库 | |
网站设置 | 支持自定义网站logo、网站icon、产品名称; | |
磁盘管理 | ¢支持通过手动/自动方式清理磁盘空间,便于用户维护系统空间,提升运维效率; | |
系统日志 | 支持记录用户操作日志,包括账号登录、上传样本、创建任务等;便于管理员对系统使用情况进行回溯审查,排查可疑IP登录操作行为 | |
API管理 | (1)支持API对接,可通过API进行**任务、上传App、查询任务列表、查询任务详情、下载报告等操作 (2)支持对用户进行API权限控制,可限定其API权限调用范围 | |
系统升级 | 支持在页面进行系统升级,上传升级包即可进行 | |
客户端升级 | ¢客户端升级,支持在页面上传合规检测客户端,方便对真机客户端检测软件进行统一升级 |
注:打“★”条款为实质性条款,供应商需全部满足,不满足,即视为无效投标。
参数(服务)解答联系人:王猛联系电话:186****3809
二、供应商的资格要求
1.供应商须符合《****政府采购法》第二十二条规定条件;
2.具有有效的营业执照;
3.根据《****政府采购活动中查询及使用信用信息记录有关文件的通知》(财库【2016】125号),通过信用中国网站(www.****.cn)、中国政府采购网(www.****.cn)查询信息,对列入“失信被执行人”“重大税收违法案件当事人名单”“政府采购严重违法失信名单”的供应商,拒绝参与采购活动;
4.中国裁判文书网(http://wenshu.****.cn/)无行贿犯罪记录;
5.供应商须提供参加采购活动前三年内,在经济活动中无重大违法记录的承诺书;
6.供应商须提供近一年任意三个月的纳税凭证;
7.供应商须提****事务所或审计机构审计的财务报告,或基本开户行出具的资信证明;
8.本项目不接受联合体响应,单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的招标活动。
三、获取谈判文件方式
本公告内容为包含所有技术参数与配置,不需要现场报名,供应商按要求直接递交响应文件。
四、响应文件内附资料如下
1.法定代表人身份证正、反面,加盖公章;
2.非法定代表人报名,出具经法定代表人签字、公司盖章的“授权委托书”及本人身份证复印件,加盖公章;
3.营业执照加盖公章;
4.****银行开户信息)加盖公章;
5.信用中国截图加盖公章;
6.中国裁判文书网(http://wenshu.****.cn/)无行贿犯罪记录;
7.供应商须提供近一年任意三个月的纳税凭证;
8.供应商须提供参加采购活动前三年内,在经济活动中无重大违法记录的承诺书;
9.供应商须提****事务所或审计机构审计的财务报告,或基本开户行出具的资信证明;
10.响应文件方案及报价。
以上材料正本一份、副本两份。材料不完整,视为无效投标。
供应商提供营业执照副本扫描件、授权委托书、法定代表人身份证及授权委托人身份证正反面、****公司名称、联系人、联系电话、电子邮箱、联系地址等),2024年11月22日17时前以电子版方式发送邮箱****@163.com进行报名资料审核(未在上述时间发送资料到指定邮箱的,视为无效报名,不接受其报价),邮件注明:公司名称、项目名称、联系方式。
响应文件需在信封的封装处粘贴采购公告中指明的项目名称并加盖供应商公章。
开标时,供应商需携带身份证到现场。本项目预算金额即为报价的最高限价,报价超出最高限价的将被视为无效投标。
五、响应文件递交截止时间、开标时间、地点
1、响应文件现场递交截止时间:2024年11月25日9时30分;
2、开标时间:2024年11月25日9时30分;
3、开标地点:****。
采购单位名称:****
递交地址:**市**区成吉思汗西街1号
邮政编码:010010
联系人:吴**
联系电话:186****9484
****
2024年11月19日