北京農商銀行2025年源代碼靜態安全測試服務項目供應商征集公告
一、項目名稱:2025年源代碼靜態安全測試服務項目
二、采購內容簡介
(一)服務內容
為進一步提高我行應用系統安全防護能力,需加強應用系統代碼健壯性,減少在編碼過程中引入的代碼層面的安全漏洞,對我行應用系統開展源代碼靜態安全測試。具體如下:
1.測試內容及方法
源代碼靜態安全測試,測試內容包括代碼安全漏洞掃描和開源組件漏掃報告檢查。源代碼靜態安全測試具體檢查項依賴于工具的代碼漏洞規則庫,測試方法采取工具掃描+人工分析相結合的方式。
代碼安全漏洞掃描使用我行奇安信代碼衛士漏洞掃描工具,開源組件漏洞掃描主要是針對開發人員提交的所有開源組件漏洞掃描報告進行檢查確認。
2.測試系統范圍
源代碼靜態安全測試掃描范圍覆蓋我行全部信息系統,目前包括220個信息系統,具體根據各系統源代碼入庫情況開展測試。如項目實施過程中,我行信息系統范圍發生變更(新增或減少),需根據最新系統范圍清單開展測試。
3.測試頻次:
代碼安全漏洞掃描:
(1)投產版本測試:需根據項目投產周期及時間,在月版項目及緊急項目投產前,按要求對被測系統的投產版本完成源代碼靜態安全測試。
(2)全量版本測試:在本靜態安全測試服務項目實施周期內,需針對測試系統范圍中的各重要信息系統和互聯網類信息系統,至少開展一次全量版本的源代碼靜態安全測試。
開源組件漏洞掃描:針對開發人員提交的所有開源組件漏洞掃描報告進行檢查,確認項目封版版本符合安全準出條件。
4.測試要求:
(1)源代碼靜態安全測試使用我行自有代碼漏洞掃描工具執行掃描,若我行代碼漏洞掃描工具無法滿足特殊測試需要,需由服務商負責補充提供滿足測試需要的代碼掃描工具;
(2)對于源代碼靜態安全測試工具掃描結果,服務商需提供相關駐場測試人員對掃描結果進行人工分析及復核,從而進一步排除誤報、確認問題,并給出相關整改建議;
(3)駐場測試人員需跟蹤相關漏洞問題,根據問題整改情況及時開展復測并評估最終測試結果。
(4)本次源代碼靜態安全測試服務項目實施周期內,駐場測試人員需不少于6人。
(二)人員要求:
此項目應保證至少提供6人,包括項目經理1人、代碼安全漏洞專家5人。具體人員要求如下:
①項目經理:負責項目整體的管控,包括制定測試計劃、組織測試實施、進行進度控制、質量控制和風險管理等。為保證項目正常實施而進行組織協調、資源調配、異常情況的處置等與項目相關的工作落實。能夠指導其他代碼安全漏洞專家完成各階段的工作。要求技術過硬,熟悉研發及架構管理,具備Java、PHP、Python 等開發語言代碼編碼能力,熟悉常見代碼安全漏洞。5年以上信息安全領域開發測試經驗,具有至少1年以上銀行同類項目工作經驗。具有CISSP等信息安全相關資質認證。
②代碼安全漏洞專家:負責針對應用系統源代碼安全漏洞、代碼編寫規范進行掃描及分析,并能夠給出整改建議,編寫相關測試報告。熟悉常用代碼漏洞掃描工具,并具有相關工具使用經驗;熟悉代碼安全漏洞種類,了解各類代碼安全漏洞產生原因及解決方法。要求具有豐富的Java、PHP、Python 等開發語言編碼經驗,具有同類項目實施經驗。具有CISSP等信息安全相關資質認證優先。
(三)服務交付文檔:《源代碼靜態安全測試計劃》《源代碼靜態安全測試執行記錄》《源代碼靜態安全測試報告》。
(四)服務期限:自合同簽訂之日起12個月。
(五)驗收要求:
1.項目驗收由我行組織、乙方協助,對源代碼靜態安全測試服務過程及結果進行驗收。
2.乙方按我行管理要求,在項目實施過程中及時提交相關項目文檔,作為對測試服務過程驗收的依據。提供的文檔需符合我行TMMi3標準要求。
3.乙方提交的測試結果記錄,各類問題需給出明確的解釋說明或整改建議。測試報告中需對問題數量、嚴重級別、問題類型、整改情況進行說明,并能依據我行準出標準給出明確的測試結論。測試結果記錄和測試報告作為對測試結果驗收的依據。
(六)付款方式:根據項目實施進度分階段進行付款,合同簽訂后支付25%,項目實施3個月后再支付20%,項目實施6個月后再支付20%,項目實施9個月后再支付25%,項目服務期滿一年后完成項目終驗支付剩余10%。
(七)履約保證金:無。
三、意向供應商資質要求及提交材料要求
(一)供應商資質要求
1.具有獨立承擔民事責任的能力。
2.具有良好的商業信譽和健全的財務會計制度。
3.具有履行合同所必需的設備和專業技術能力。
4.有依法繳納稅收和社會保障資金的良好記錄。
5.最近三年內,在經營活動中沒有重大違法記錄。
6.法律、行政法規規定的其他條件。
7.具有銀行同業同類型項目實施案例經驗。
(二)提交材料內容
1.供應商情況表需提供蓋章掃描件及Word可編輯版。
2.在“國家企業信用信息公示系統”、“信用中國”系統提供查詢結果(截屏蓋章),包括不限于經營異常、行政處罰、變更記錄、重大稅收違法失信情況等。
3.提交加蓋單位公章的載有統一社會信用代碼的營業執照,材料需為PDF格式文件。
(三)提交材料要求
1.郵件主題:項目名稱+公司名稱;郵件主題、正文、附件中不能含敏感字。
2.郵件正文中要寫明公司的聯系人姓名、手機號、郵箱。
3.須以傳統方式黏貼附件,不能發云附件;發送的附件(壓縮文件、文檔等)不得設置密碼或編輯權限;單個郵件大小控制在50MB以內(如果超限,可分幾個郵件發)。
4.報名資料未按要求提供或提供不全的情況,采購人將拒絕其報名。
5.采購人視收到的上述材料不涉及商業秘密。
6.采購人可能根據項目情況取消采購,供應商應予接受。
7.不接受聯合體參與報名,不得以任何形式轉包或分包。
8.前來報名的供應商應保證所提供材料的真實合法性,并由此承擔法律風險和賠償責任。采購人保留對相關材料進一步核實的權利,如發現提供虛假材料的供應商,采購人將取消其本次及以后的報名資格。
四、征集期
自2024年12月16日起至2024年12月20日16時止。
請在規定時間內參與報名,截至報名日期后我行將不再接受任何形式的申請材料。
本招標項目僅供正式會員查看,您的權限不能瀏覽詳細信息,請于下方聯系人辦理會員入網事宜,成為正式會員后可下載詳細的招標、報名表格、項目附件和部分招標文件等。
聯系人:李 工
電 話:17610398736
溫馨提示:本招標項目僅供正式會員查閱,您的權限不能瀏覽詳細信息,請點擊 注冊 / 登錄,或聯系工作人員辦理會員入網事宜,成為正式會員后方可獲取詳細的招標公告、報名表格、項目附件及部分項目招標文件等。
客戶咨詢服務熱線
VIP招標
首頁
