2024年北京農商銀行2025年源代碼靜態(tài)安全測試服務項目供應商征集公告

一、項目名稱：2025年源代碼靜態(tài)安全測試服務項目 
二、采購內容簡介

（一）服務內容

為進一步提高我行應用系統(tǒng)安全防護能力，需加強應用系統(tǒng)代碼健壯性，減少在編碼過程中引入的代碼層面的安全漏洞，對我行應用系統(tǒng)開展源代碼靜態(tài)安全測試。具體如下：

1.測試內容及方法

源代碼靜態(tài)安全測試，測試內容包括代碼安全漏洞掃描和開源組件漏掃報告檢查。源代碼靜態(tài)安全測試具體檢查項依賴于工具的代碼漏洞規(guī)則庫，測試方法采取工具掃描+人工分析相結合的方式。

代碼安全漏洞掃描使用我行奇安信代碼衛(wèi)士漏洞掃描工具，開源組件漏洞掃描主要是針對開發(fā)人員提交的所有開源組件漏洞掃描報告進行檢查確認。

2.測試系統(tǒng)范圍

源代碼靜態(tài)安全測試掃描范圍覆蓋我行全部信息系統(tǒng)，目前包括220個信息系統(tǒng)，具體根據各系統(tǒng)源代碼入庫情況開展測試。如項目實施過程中，我行信息系統(tǒng)范圍發(fā)生變更（新增或減少），需根據最新系統(tǒng)范圍清單開展測試。

3.測試頻次：

代碼安全漏洞掃描：

（1）投產版本測試：需根據項目投產周期及時間，在月版項目及緊急項目投產前，按要求對被測系統(tǒng)的投產版本完成源代碼靜態(tài)安全測試。

（2）全量版本測試：在本靜態(tài)安全測試服務項目實施周期內，需針對測試系統(tǒng)范圍中的各重要信息系統(tǒng)和互聯網類信息系統(tǒng)，至少開展一次全量版本的源代碼靜態(tài)安全測試。

開源組件漏洞掃描：針對開發(fā)人員提交的所有開源組件漏洞掃描報告進行檢查，確認項目封版版本符合安全準出條件。

4.測試要求：

（1）源代碼靜態(tài)安全測試使用我行自有代碼漏洞掃描工具執(zhí)行掃描，若我行代碼漏洞掃描工具無法滿足特殊測試需要，需由服務商負責補充提供滿足測試需要的代碼掃描工具；

（2）對于源代碼靜態(tài)安全測試工具掃描結果，服務商需提供相關駐場測試人員對掃描結果進行人工分析及復核，從而進一步排除誤報、確認問題，并給出相關整改建議；

（3）駐場測試人員需跟蹤相關漏洞問題，根據問題整改情況及時開展復測并評估最終測試結果。

（4）本次源代碼靜態(tài)安全測試服務項目實施周期內，駐場測試人員需不少于6人。

（二）人員要求：

此項目應保證至少提供6人，包括項目經理1人、代碼安全漏洞專家5人。具體人員要求如下：

①項目經理：負責項目整體的管控，包括制定測試計劃、組織測試實施、進行進度控制、質量控制和風險管理等。為保證項目正常實施而進行組織協(xié)調、資源調配、異常情況的處置等與項目相關的工作落實。能夠指導其他代碼安全漏洞專家完成各階段的工作。要求技術過硬，熟悉研發(fā)及架構管理，具備Java、PHP、Python 等開發(fā)語言代碼編碼能力，熟悉常見代碼安全漏洞。5年以上信息安全領域開發(fā)測試經驗，具有至少1年以上銀行同類項目工作經驗。具有CISSP等信息安全相關資質認證。

②代碼安全漏洞專家：負責針對應用系統(tǒng)源代碼安全漏洞、代碼編寫規(guī)范進行掃描及分析，并能夠給出整改建議，編寫相關測試報告。熟悉常用代碼漏洞掃描工具，并具有相關工具使用經驗；熟悉代碼安全漏洞種類，了解各類代碼安全漏洞產生原因及解決方法。要求具有豐富的Java、PHP、Python 等開發(fā)語言編碼經驗，具有同類項目實施經驗。具有CISSP等信息安全相關資質認證優(yōu)先。

（三）服務交付文檔：《源代碼靜態(tài)安全測試計劃》《源代碼靜態(tài)安全測試執(zhí)行記錄》《源代碼靜態(tài)安全測試報告》。

（四）服務期限：自合同簽訂之日起12個月。
**信息由招標與采購網發(fā)布**此行內容正式會員可見，請登錄中國招標與采購網后查看**
（五）驗收要求：

1.項目驗收由我行組織、乙方協(xié)助，對源代碼靜態(tài)安全測試服務過程及結果進行驗收。

2.乙方按我行管理要求，在項目實施過程中及時提交相關項目文檔，作為對測試服務過程驗收的依據。提供的文檔需符合我行TMMi3標準要求。

3.乙方提交的測試結果記錄，各類問題需給出明確的解釋說明或整改建議。測試報告中需對問題數量、嚴重級別、問題類型、整改情況進行說明，并能依據我行準出標準給出明確的測試結論。測試結果記錄和測試報告作為對測試結果驗收的依據。

（六）付款方式：根據項目實施進度分階段進行付款，合同簽訂后支付25%，項目實施3個月后再支付20%，項目實施6個月后再支付20%，項目實施9個月后再支付25%，項目服務期滿一年后完成項目終驗支付剩余10%。

（七）履約保證金：無。

三、意向供應商資質要求及提交材料要求

（一）供應商資質要求

1.具有獨立承擔民事責任的能力。

2.具有良好的商業(yè)信譽和健全的財務會計制度。

3.具有履行合同所必需的設備和專業(yè)技術能力。

4.有依法繳納稅收和社會保障資金的良好記錄。

5.最近三年內，在經營活動中沒有重大違法記錄。

6.法律、行政法規(guī)規(guī)定的其他條件。

7.具有銀行同業(yè)同類型項目實施案例經驗。

 （二）提交材料內容

1.供應商情況表需提供蓋章掃描件及Word可編輯版。

2.在“國家企業(yè)信用信息公示系統(tǒng)”、“信用中國”系統(tǒng)提供查詢結果(截屏蓋章），包括不限于經營異常、行政處罰、變更記錄、重大稅收違法失信情況等。

3.提交加蓋單位公章的載有統(tǒng)一社會信用代碼的營業(yè)執(zhí)照，材料需為PDF格式文件。

（三）提交材料要求
 1.郵件主題：項目名稱+公司名稱；郵件主題、正文、附件中不能含敏感字。
 2.郵件正文中要寫明公司的聯系人姓名、手機號、郵箱。
 3.須以傳統(tǒng)方式黏貼附件，不能發(fā)云附件；發(fā)送的附件（壓縮文件、文檔等）不得設置密碼或編輯權限；單個郵件大小控制在50MB以內（如果超限，可分幾個郵件發(fā)）。
 4.報名資料未按要求提供或提供不全的情況，采購人將拒絕其報名。

5.采購人視收到的上述材料不涉及商業(yè)秘密。

6.采購人可能根據項目情況取消采購，供應商應予接受。

7.不接受聯合體參與報名，不得以任何形式轉包或分包。

8.前來報名的供應商應保證所提供材料的真實合法性，并由此承擔法律風險和賠償責任。采購人保留對相關材料進一步核實的權利，如發(fā)現提供虛假材料的供應商，采購人將取消其本次及以后的報名資格。

四、征集期

自2024年12月16日起至2024年12月20日16時止。

請在規(guī)定時間內參與報名，截至報名日期后我行將不再接受任何形式的申請材料。
本招標項目僅供正式會員查看，您的權限不能瀏覽詳細信息，請于下方聯系人辦理會員入網事宜，成為正式會員后可下載詳細的招標、報名表格、項目附件和部分招標文件等。
聯系人：李 工 
電 話：17610398736
郵 箱：17610398736@163.com
-----------------------------------------------------------------