2024年北京農(nóng)商銀行2025年源代碼靜態(tài)安全測試服務(wù)項(xiàng)目供應(yīng)商征集公告

一、項(xiàng)目名稱：2025年源代碼靜態(tài)安全測試服務(wù)項(xiàng)目 
二、采購內(nèi)容簡介

（一）服務(wù)內(nèi)容

為進(jìn)一步提高我行應(yīng)用系統(tǒng)安全防護(hù)能力，需加強(qiáng)應(yīng)用系統(tǒng)代碼健壯性，減少在編碼過程中引入的代碼層面的安全漏洞，對我行應(yīng)用系統(tǒng)開展源代碼靜態(tài)安全測試。具體如下：

1.測試內(nèi)容及方法

源代碼靜態(tài)安全測試，測試內(nèi)容包括代碼安全漏洞掃描和開源組件漏掃報告檢查。源代碼靜態(tài)安全測試具體檢查項(xiàng)依賴于工具的代碼漏洞規(guī)則庫，測試方法采取工具掃描+人工分析相結(jié)合的方式。

代碼安全漏洞掃描使用我行奇安信代碼衛(wèi)士漏洞掃描工具，開源組件漏洞掃描主要是針對開發(fā)人員提交的所有開源組件漏洞掃描報告進(jìn)行檢查確認(rèn)。

2.測試系統(tǒng)范圍

源代碼靜態(tài)安全測試掃描范圍覆蓋我行全部信息系統(tǒng)，目前包括220個信息系統(tǒng)，具體根據(jù)各系統(tǒng)源代碼入庫情況開展測試。如項(xiàng)目實(shí)施過程中，我行信息系統(tǒng)范圍發(fā)生變更（新增或減少），需根據(jù)最新系統(tǒng)范圍清單開展測試。

3.測試頻次：

代碼安全漏洞掃描：

（1）投產(chǎn)版本測試：需根據(jù)項(xiàng)目投產(chǎn)周期及時間，在月版項(xiàng)目及緊急項(xiàng)目投產(chǎn)前，按要求對被測系統(tǒng)的投產(chǎn)版本完成源代碼靜態(tài)安全測試。

（2）全量版本測試：在本靜態(tài)安全測試服務(wù)項(xiàng)目實(shí)施周期內(nèi)，需針對測試系統(tǒng)范圍中的各重要信息系統(tǒng)和互聯(lián)網(wǎng)類信息系統(tǒng)，至少開展一次全量版本的源代碼靜態(tài)安全測試。

開源組件漏洞掃描：針對開發(fā)人員提交的所有開源組件漏洞掃描報告進(jìn)行檢查，確認(rèn)項(xiàng)目封版版本符合安全準(zhǔn)出條件。

4.測試要求：

（1）源代碼靜態(tài)安全測試使用我行自有代碼漏洞掃描工具執(zhí)行掃描，若我行代碼漏洞掃描工具無法滿足特殊測試需要，需由服務(wù)商負(fù)責(zé)補(bǔ)充提供滿足測試需要的代碼掃描工具；

（2）對于源代碼靜態(tài)安全測試工具掃描結(jié)果，服務(wù)商需提供相關(guān)駐場測試人員對掃描結(jié)果進(jìn)行人工分析及復(fù)核，從而進(jìn)一步排除誤報、確認(rèn)問題，并給出相關(guān)整改建議；

（3）駐場測試人員需跟蹤相關(guān)漏洞問題，根據(jù)問題整改情況及時開展復(fù)測并評估最終測試結(jié)果。

（4）本次源代碼靜態(tài)安全測試服務(wù)項(xiàng)目實(shí)施周期內(nèi)，駐場測試人員需不少于6人。

（二）人員要求：

此項(xiàng)目應(yīng)保證至少提供6人，包括項(xiàng)目經(jīng)理1人、代碼安全漏洞專家5人。具體人員要求如下：

①項(xiàng)目經(jīng)理：負(fù)責(zé)項(xiàng)目整體的管控，包括制定測試計劃、組織測試實(shí)施、進(jìn)行進(jìn)度控制、質(zhì)量控制和風(fēng)險管理等。為保證項(xiàng)目正常實(shí)施而進(jìn)行組織協(xié)調(diào)、資源調(diào)配、異常情況的處置等與項(xiàng)目相關(guān)的工作落實(shí)。能夠指導(dǎo)其他代碼安全漏洞專家完成各階段的工作。要求技術(shù)過硬，熟悉研發(fā)及架構(gòu)管理，具備Java、PHP、Python 等開發(fā)語言代碼編碼能力，熟悉常見代碼安全漏洞。5年以上信息安全領(lǐng)域開發(fā)測試經(jīng)驗(yàn)，具有至少1年以上銀行同類項(xiàng)目工作經(jīng)驗(yàn)。具有CISSP等信息安全相關(guān)資質(zhì)認(rèn)證。

②代碼安全漏洞專家：負(fù)責(zé)針對應(yīng)用系統(tǒng)源代碼安全漏洞、代碼編寫規(guī)范進(jìn)行掃描及分析，并能夠給出整改建議，編寫相關(guān)測試報告。熟悉常用代碼漏洞掃描工具，并具有相關(guān)工具使用經(jīng)驗(yàn)；熟悉代碼安全漏洞種類，了解各類代碼安全漏洞產(chǎn)生原因及解決方法。要求具有豐富的Java、PHP、Python 等開發(fā)語言編碼經(jīng)驗(yàn)，具有同類項(xiàng)目實(shí)施經(jīng)驗(yàn)。具有CISSP等信息安全相關(guān)資質(zhì)認(rèn)證優(yōu)先。

（三）服務(wù)交付文檔：《源代碼靜態(tài)安全測試計劃》《源代碼靜態(tài)安全測試執(zhí)行記錄》《源代碼靜態(tài)安全測試報告》。

（四）服務(wù)期限：自合同簽訂之日起12個月。
**信息由招標(biāo)與采購網(wǎng)發(fā)布**此行內(nèi)容正式會員可見，請登錄中國招標(biāo)與采購網(wǎng)后查看**
（五）驗(yàn)收要求：

1.項(xiàng)目驗(yàn)收由我行組織、乙方協(xié)助，對源代碼靜態(tài)安全測試服務(wù)過程及結(jié)果進(jìn)行驗(yàn)收。

2.乙方按我行管理要求，在項(xiàng)目實(shí)施過程中及時提交相關(guān)項(xiàng)目文檔，作為對測試服務(wù)過程驗(yàn)收的依據(jù)。提供的文檔需符合我行TMMi3標(biāo)準(zhǔn)要求。

3.乙方提交的測試結(jié)果記錄，各類問題需給出明確的解釋說明或整改建議。測試報告中需對問題數(shù)量、嚴(yán)重級別、問題類型、整改情況進(jìn)行說明，并能依據(jù)我行準(zhǔn)出標(biāo)準(zhǔn)給出明確的測試結(jié)論。測試結(jié)果記錄和測試報告作為對測試結(jié)果驗(yàn)收的依據(jù)。

（六）付款方式：根據(jù)項(xiàng)目實(shí)施進(jìn)度分階段進(jìn)行付款，合同簽訂后支付25%，項(xiàng)目實(shí)施3個月后再支付20%，項(xiàng)目實(shí)施6個月后再支付20%，項(xiàng)目實(shí)施9個月后再支付25%，項(xiàng)目服務(wù)期滿一年后完成項(xiàng)目終驗(yàn)支付剩余10%。

（七）履約保證金：無。

三、意向供應(yīng)商資質(zhì)要求及提交材料要求

（一）供應(yīng)商資質(zhì)要求

1.具有獨(dú)立承擔(dān)民事責(zé)任的能力。

2.具有良好的商業(yè)信譽(yù)和健全的財務(wù)會計制度。

3.具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力。

4.有依法繳納稅收和社會保障資金的良好記錄。

5.最近三年內(nèi)，在經(jīng)營活動中沒有重大違法記錄。

6.法律、行政法規(guī)規(guī)定的其他條件。

7.具有銀行同業(yè)同類型項(xiàng)目實(shí)施案例經(jīng)驗(yàn)。

 （二）提交材料內(nèi)容

1.供應(yīng)商情況表需提供蓋章掃描件及Word可編輯版。

2.在“國家企業(yè)信用信息公示系統(tǒng)”、“信用中國”系統(tǒng)提供查詢結(jié)果(截屏蓋章），包括不限于經(jīng)營異常、行政處罰、變更記錄、重大稅收違法失信情況等。

3.提交加蓋單位公章的載有統(tǒng)一社會信用代碼的營業(yè)執(zhí)照，材料需為PDF格式文件。

（三）提交材料要求
 1.郵件主題：項(xiàng)目名稱+公司名稱；郵件主題、正文、附件中不能含敏感字。
 2.郵件正文中要寫明公司的聯(lián)系人姓名、手機(jī)號、郵箱。
 3.須以傳統(tǒng)方式黏貼附件，不能發(fā)云附件；發(fā)送的附件（壓縮文件、文檔等）不得設(shè)置密碼或編輯權(quán)限；單個郵件大小控制在50MB以內(nèi)（如果超限，可分幾個郵件發(fā)）。
 4.報名資料未按要求提供或提供不全的情況，采購人將拒絕其報名。

5.采購人視收到的上述材料不涉及商業(yè)秘密。

6.采購人可能根據(jù)項(xiàng)目情況取消采購，供應(yīng)商應(yīng)予接受。

7.不接受聯(lián)合體參與報名，不得以任何形式轉(zhuǎn)包或分包。

8.前來報名的供應(yīng)商應(yīng)保證所提供材料的真實(shí)合法性，并由此承擔(dān)法律風(fēng)險和賠償責(zé)任。采購人保留對相關(guān)材料進(jìn)一步核實(shí)的權(quán)利，如發(fā)現(xiàn)提供虛假材料的供應(yīng)商，采購人將取消其本次及以后的報名資格。

四、征集期

自2024年12月16日起至2024年12月20日16時止。

請在規(guī)定時間內(nèi)參與報名，截至報名日期后我行將不再接受任何形式的申請材料。
本招標(biāo)項(xiàng)目僅供正式會員查看，您的權(quán)限不能瀏覽詳細(xì)信息，請于下方聯(lián)系人辦理會員入網(wǎng)事宜，成為正式會員后可下載詳細(xì)的招標(biāo)、報名表格、項(xiàng)目附件和部分招標(biāo)文件等。
聯(lián)系人：李 工 
電 話：17610398736
郵 箱：17610398736@163.com
-----------------------------------------------------------------