Integration von CSAF in Dependency-Track (CSAF SBOM Matchingsystem)
Bundesamt für Sicherheit in der Informationstechnik
Das Tool Dependency-Track des Open Web Application Security Project (OWASP) stellt eine Datenbank für Software Bill of Materials (SBOMs) dar. Ziel des Projektes ist es, Dependency-Track so zu erweitern, dass Security Advisories und Vunerability Exploitability eXchange (VEX) im Format des Common Security Advisory Framework (CSAF) eingelesen und mit den vorhandenen SBOMs abgeglichen werden können und es ein CSAF-standardkonformes CSAF-SBOM-Matching-System ist. Durch den Abgleich der SBOMs auch gegen CSAF-Dateien soll es ermöglicht werden, Aussagen zu erhalten, ob und wie eine in der SBOM enthaltene Komponente von einer Schwachstelle betroffen ist. Dadurch lässt sich das Schwachstellenmanagement bei Herstellern und die Marktüberwachung (teil-)automatisieren.
DeadlineDie Frist für den Eingang der Angebote war 2024-03-12. Die Ausschreibung wurde veröffentlicht am 2024-02-06.
Wer? Wie? Wo?
Geschichte der Beschaffung
| Datum | Dokument |
|---|---|
| 2024-02-06 | Auftragsbekanntmachung |
| 2024-03-04 | Auftragsbekanntmachung |
Auftragsbekanntmachung (2024-02-06)
Objekt
Umfang der Beschaffung
Titel: Integration von CSAF in Dependency-Track (CSAF SBOM Matchingsystem)
Referenznummer:
Kurze Beschreibung:
Produkte/Dienstleistungen: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
📦
Beschreibung
Interne Kennung:
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet ✅
Zusätzliche Informationen:
Land: Deutschland 🇩🇪
Ort der Leistung: Bonn, Kreisfreie Stadt 🏙️
Dauer: 9 Monate
Informationen über Optionen
Optionen ✅
Beschreibung der Optionen:
Vergabekriterien
Qualitätskriterium (Bezeichnung): siehe Leistungsbeschreibung
Titel
Los-Identifikationsnummer:
Verfahren
Art des Verfahrens
Offenes Verfahren ✅
Rechtsgrundlage: Richtlinie 2014/24/EU
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2024-03-12 13:00:00 📅
Bedingungen für die Öffnung der Angebote: 2024-03-12 14:00:00 📅
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch 🗣️
Mindestzeitraum, in dem der Bieter das Angebot aufrechterhalten muss: 3 Monate
Bedingungen für die Einreichung eines Angebots
Die Bieter können mehrere Angebote einreichen
Eröffnungstermin: 2024-03-12 14:00:00 📅
Elektronische Rechnungsstellung: Erforderlich
Die elektronische Bestellung wird verwendet ✅
Elektronische Zahlung wird verwendet ✅
Zusätzliche Informationen: Die Nachforderung von Unterlagen gem § 56 VgV ist zulässig.
Rechtliche, wirtschaftliche, finanzielle und technische Informationen
Technische und berufliche Fähigkeiten
Liste und kurze Beschreibung der Auswahlkriterien:
Bedingungen für die Teilnahme
Ausschlussgrund: Schwere Verfehlung im Rahmen der beruflichen Tätigkeit
Beschreibung der Ausschlussgründe: Ausschlussgründe gem. § 123 GWB
Öffentlicher Auftraggeber
Name und Adressen
Name: Bundesamt für Sicherheit in der Informationstechnik
Nationale Registrierungsnummer:
Postanschrift: Postfach 200363
Postleitzahl: 53133
Postort: Bonn
Region: Bonn, Kreisfreie Stadt 🏙️
Land: Deutschland 🇩🇪
E-Mail: vergabestelle@bsi.bund.de 📧
Telefon: 02289995820 📞
URL: https://www.bsi.bund.de 🌏
Art des öffentlichen Auftraggebers
Ministerium oder sonstige zentral- oder bundesstaatliche Behörde
Haupttätigkeit
Allgemeine öffentliche Verwaltung
Kommunikation
Dokumente URL: https://www.evergabe-online.de/tenderdocuments.html?id=592485 🌏
Sprache des Beschaffungsdokuments: Deutsch 🗣️
Elektronische Einreichung: Erforderlich
Objekt
Art des Vertrags: Dienstleistungen
Ergänzende Informationen
Informationen über elektronische Arbeitsabläufe
Die elektronische Rechnungsstellung wird akzeptiert
Bekanntmachungsangaben
Bevorzugtes Datum der Veröffentlichung: 2024-02-06+01:00 📅
Quelle: OJS 2024/S 027-078793 (2024-02-06)
Objekt
Umfang der Beschaffung
Titel: Integration von CSAF in Dependency-Track (CSAF SBOM Matchingsystem)
Referenznummer:
P629
Kurze Beschreibung:
Das Tool Dependency-Track des Open Web Application Security Project (OWASP) stellt eine Datenbank für Software Bill of Materials (SBOMs) dar. Ziel des Projektes ist es, Dependency-Track so zu erweitern, dass Security Advisories und Vunerability Exploitability eXchange (VEX) im Format des Common Security Advisory Framework (CSAF) eingelesen und mit den vorhandenen SBOMs abgeglichen werden können und es ein CSAF-standardkonformes CSAF-SBOM-Matching-System ist.
Durch den Abgleich der SBOMs auch gegen CSAF-Dateien soll es ermöglicht werden, Aussagen zu erhalten, ob und wie eine in der SBOM enthaltene Komponente von einer Schwachstelle betroffen ist. Dadurch lässt sich das Schwachstellenmanagement bei Herstellern und die Marktüberwachung (teil-)automatisieren.
Mehr anzeigen
Beschreibung
Interne Kennung:
P629
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet ✅
Zusätzliche Informationen:
#Besonders geeignet für:freelance#, #Besonders geeignet für:selbst#, #Besonders geeignet für:startup#
Art des Vertrags: Dienstleistungen
Land: Deutschland 🇩🇪
Ort der Leistung: Bonn, Kreisfreie Stadt 🏙️
Dauer: 9 Monate
Informationen über Optionen
Optionen ✅
Beschreibung der Optionen:
AP 2 und 5 sind optionale Leistungen. Diese müssen vom Bieter angeboten werden, der Auftraggeber verzichtet jedoch ggf. auf deren Beauftragung. Die Beauftragung der optionalen Leistungen aus AP 2 ist abhängig von der Bearbeitung des bereits bestehenden Tickets3. Sollte das Ticket zum Zeitpunkt der Auftragsvergabe vollumfänglich bearbeitet sein und die Voraussetzung zur Erfüllung der AP 3 und AP 4 erfüllen wird von einer Beauftragung abgesehen. Die Beauftragung der optionalen Leistungen aus AP 5 ist abhängig von den Ergebnissen der Arbeitspakete 3 und 4 und kann spätestens bis zum Ende von AP 2 oder AP 4 erfolgen - je nachdem, welches AP später abgenommen wird.
Mehr anzeigen
Qualitätskriterium (Bezeichnung): siehe Leistungsbeschreibung
Titel
Los-Identifikationsnummer:
LOT-0001
Verfahren
Art des Verfahrens
Offenes Verfahren ✅
Rechtsgrundlage: Richtlinie 2014/24/EU
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2024-03-12 13:00:00 📅
Bedingungen für die Öffnung der Angebote: 2024-03-12 14:00:00 📅
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch 🗣️
Mindestzeitraum, in dem der Bieter das Angebot aufrechterhalten muss: 3 Monate
Bedingungen für die Einreichung eines Angebots
Die Bieter können mehrere Angebote einreichen
Eröffnungstermin: 2024-03-12 14:00:00 📅
Elektronische Rechnungsstellung: Erforderlich
Die elektronische Bestellung wird verwendet ✅
Elektronische Zahlung wird verwendet ✅
Zusätzliche Informationen: Die Nachforderung von Unterlagen gem § 56 VgV ist zulässig.
Rechtliche, wirtschaftliche, finanzielle und technische Informationen
Technische und berufliche Fähigkeiten
Liste und kurze Beschreibung der Auswahlkriterien:
Eignungskriterien: Eigenerklärung zu Artikel 5k der Verordnung (EU) 833/2014
Im Rahmen des EU-Sanktionspakets im Zusammenhang mit dem Angriffskrieg Russlands auf die Ukraine wurde durch Verordnung (EU) 2022/1269 des Rates vom 27.04.2023 folgender Artikel in die Verordnung (EU) 833/2014 aufgenommen:
Artikel 5k
(1) Es ist verboten, öffentliche Aufträge oder Konzessionen, die in den Anwendungsbereich der Richtlinien über die öffentliche Auftragsvergabe sowie unter Artikel 10 Absatz 1, Absatz 3, Absatz 6 Buchstaben a bis e, Absatz 8, Absatz 9 und Absatz 10 und die Artikel 11, 12, 13 und 14 der Richtlinie 2014/23/EU, unter Artikel 7 Buchstaben a bis d, Artikel 8, Artikel 10 Buchstaben b bis f und h bis j der Richtlinie 2014/24/EU, unter Artikel 18, Artikel 21 Buchstaben b bis e und g bis i, Artikel 29 und Artikel 30 der Richtlinie 2014/25/EU und unter Artikel 13 Buchstaben a bis d, f bis h und j der Richtlinie 2009/81/EG sowie unter Titel VII der Verordnung (EU, Euratom) 2018/1046 fallen, an folgende Personen, Organisationen oder Einrichtungen zu vergeben bzw. Verträge mit solchen Personen, Organisationen oder Einrichtungen weiterhin zu erfüllen:
a) russische Staatsangehörige, in Russland ansässige natürliche Personen oder in Russland niedergelassene juristische Personen, Organisationen oder Einrichtungen,
b) juristische Personen, Organisationen oder Einrichtungen, deren Anteile zu über 50 % unmittelbar oder mittelbar von einer der unter Buchstabe a genannten Organisationen gehalten werden, oder
c) natürliche oder juristische Personen, Organisationen oder Einrichtungen, die im Namen oder auf Anweisung einer der unter Buchstabe a oder b genannten Organisationen handeln,
einschließlich — wenn auf sie mehr als 10 % des Auftragswerts entfällt — Unterauftragnehmer, Lieferanten oder Unternehmen, deren Kapazitäten im Sinne der Richtlinien über die öffentliche Auftragsvergabe in Anspruch genommen werden.
Bestätigen Sie, dass keine der o.g. Ausschlussgründe für eine öffentliche Auftragsvergabe oder Konzessionsvergabe bzw. eine Vertragsweiterführung auf Sie zutreffen und dass Sie auch im Rahmen der Vertragsausführung keine Änderungen vornehmen (z.B. durch Einbindung eines Unterauftragnehmers oder eines Lieferanten), die gegen die o.g. Ausschlussgründe verstoßen?
Bitte die Frage nur mit „JA“ (→ Bestätigung) oder „NEIN“ (→ keine Bestätigung) beantworten.
Mindestanforderung: Die Frage wurde mit „Ja“ beantwortet. Wurde die Frage mit „Nein“ beantwortet, so führt dies zum Ausschluss aus dem Vergabeverfahren. Ihnen ist bewusst, dass eine wissentlich falsche Angabe der Erklärung zum Ausschluss aus dem Vergabeverfahren führt und nach Vertragsschluss den Auftraggeber zur außerordentlichen Kündigung berechtigt.
Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
Referenzen: bisherige und vergleichbare Aufträge/Projekte
Legen Sie geeignete Referenzen der beteiligten Unternehmen vor. Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung.
Die genannten Referenzen müssen insbesondere die Fähigkeit der beteiligten Unternehmen auf dem Gebiet der Forschung und Entwicklung sowie die Ausarbeitung und Umsetzung innovativer Lösungen belegen. Im Wege der Referenzen ist daher nachzuweisen, dass die beteiligten Unternehmen bereits Erfahrungen in den folgenden Erfahrungsbereichen gesammelt haben:
1. Entwicklung moderner Web-Anwendungen
2. Erfahrung in der Entwicklung von Software mit den erforderlichen Technologien
3. Entwicklung von Software als Open Source auf GitHub
Gehen Sie bei der Erstellung des Referenznachweises auf die folgenden Punkte ein:
− Auftraggeber inkl. Fachbereich
− (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit
− Umfang / Betroffener Erfahrungsbereich
− Dauer
− Auftragsvolumen
Die Darstellung sollte zwei DIN A4-Seiten pro Referenzprojekt nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: Insgesamt sind mindestens drei geeignete Referenzen vorzulegen. Alle Erfahrungsbereiche müssen durch geeignete Referenzen belegt werden, wobei eine Referenz zur Abdeckung mehrerer Bereiche herangezogen werden darf.
Mehr anzeigen
Ausschlussgrund: Schwere Verfehlung im Rahmen der beruflichen Tätigkeit
Beschreibung der Ausschlussgründe: Ausschlussgründe gem. § 123 GWB
Öffentlicher Auftraggeber
Name und Adressen
Name: Bundesamt für Sicherheit in der Informationstechnik
Nationale Registrierungsnummer:
991-07335-68
Postanschrift: Postfach 200363
Postleitzahl: 53133
Postort: Bonn
Region: Bonn, Kreisfreie Stadt 🏙️
Land: Deutschland 🇩🇪
E-Mail: vergabestelle@bsi.bund.de 📧
Telefon: 02289995820 📞
URL: https://www.bsi.bund.de 🌏
Art des öffentlichen Auftraggebers
Ministerium oder sonstige zentral- oder bundesstaatliche Behörde
Haupttätigkeit
Allgemeine öffentliche Verwaltung
Kommunikation
Dokumente URL: https://www.evergabe-online.de/tenderdocuments.html?id=592485 🌏
Sprache des Beschaffungsdokuments: Deutsch 🗣️
Elektronische Einreichung: Erforderlich
Objekt
Art des Vertrags: Dienstleistungen
Ergänzende Informationen
Informationen über elektronische Arbeitsabläufe
Die elektronische Rechnungsstellung wird akzeptiert
Bekanntmachungsangaben
Bevorzugtes Datum der Veröffentlichung: 2024-02-06+01:00 📅
Quelle: OJS 2024/S 027-078793 (2024-02-06)
Auftragsbekanntmachung (2024-03-04)
Verfahren
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2024-03-26 14:00:00 📅
Bedingungen für die Öffnung der Angebote: 2024-03-26 14:01:00 📅
Bedingungen für die Einreichung eines Angebots
Eröffnungstermin: 2024-03-26 14:01:00 📅
Ergänzende Informationen
Bekanntmachungsangaben
Bevorzugtes Datum der Veröffentlichung: 2024-03-04+01:00 📅
Änderungen
Andere zusätzliche Informationen
Hauptgrund für die Änderung: Aktualisierte Informationen
Angaben zu Änderungen
Fassung der zu ändernden vorigen Bekanntmachung: 7cd86907-6123-4066-9b3e-f4a32fda6844-01
Quelle: OJS 2024/S 046-135352 (2024-03-04)
Verfahren
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2024-03-26 14:00:00 📅
Bedingungen für die Öffnung der Angebote: 2024-03-26 14:01:00 📅
Bedingungen für die Einreichung eines Angebots
Eröffnungstermin: 2024-03-26 14:01:00 📅
Ergänzende Informationen
Bekanntmachungsangaben
Bevorzugtes Datum der Veröffentlichung: 2024-03-04+01:00 📅
Änderungen
Andere zusätzliche Informationen
Hauptgrund für die Änderung: Aktualisierte Informationen
Angaben zu Änderungen
Fassung der zu ändernden vorigen Bekanntmachung: 7cd86907-6123-4066-9b3e-f4a32fda6844-01
Quelle: OJS 2024/S 046-135352 (2024-03-04)
Neue Beschaffungen in verwandten Kategorien 🆕
- IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (>20 neue Beschaffungen)