北京农商银行2025年源代码静态安全测试服务项目供应商征集公告
一、项目名称:2025年源代码静态安全测试服务项目
二、采购内容简介
(一)服务内容
为进一步提高我行应用系统安全防护能力,需加强应用系统代码健壮性,减少在编码过程中引入的代码层面的安全漏洞,对我行应用系统开展源代码静态安全测试。具体如下:
1.测试内容及方法
源代码静态安全测试,测试内容包括代码安全漏洞扫描和开源组件漏扫报告检查。源代码静态安全测试具体检查项依赖于工具的代码漏洞规则库,测试方法采取工具扫描+人工分析相结合的方式。
代码安全漏洞扫描使用我行奇安信代码卫士漏洞扫描工具,开源组件漏洞扫描主要是针对开发人员提交的所有开源组件漏洞扫描报告进行检查确认。
2.测试系统范围
源代码静态安全测试扫描范围覆盖我行全部信息系统,目前包括220个信息系统,具体根据各系统源代码入库情况开展测试。如项目实施过程中,我行信息系统范围发生变更(新增或减少),需根据最新系统范围清单开展测试。
3.测试频次:
代码安全漏洞扫描:
(1)投产版本测试:需根据项目投产周期及时间,在月版项目及紧急项目投产前,按要求对被测系统的投产版本完成源代码静态安全测试。
(2)全量版本测试:在本静态安全测试服务项目实施周期内,需针对测试系统范围中的各重要信息系统和互联网类信息系统,至少开展一次全量版本的源代码静态安全测试。
开源组件漏洞扫描:针对开发人员提交的所有开源组件漏洞扫描报告进行检查,确认项目封版版本符合安全准出条件。
4.测试要求:
(1)源代码静态安全测试使用我行自有代码漏洞扫描工具执行扫描,若我行代码漏洞扫描工具无法满足特殊测试需要,需由服务商负责补充提供满足测试需要的代码扫描工具;
(2)对于源代码静态安全测试工具扫描结果,服务商需提供相关驻场测试人员对扫描结果进行人工分析及复核,从而进一步排除误报、确认问题,并给出相关整改建议;
(3)驻场测试人员需跟踪相关漏洞问题,根据问题整改情况及时开展复测并评估最终测试结果。
(4)本次源代码静态安全测试服务项目实施周期内,驻场测试人员需不少于6人。
(二)人员要求:
此项目应保证至少提供6人,包括项目经理1人、代码安全漏洞专家5人。具体人员要求如下:
①项目经理:负责项目整体的管控,包括制定测试计划、组织测试实施、进行进度控制、质量控制和风险管理等。为保证项目正常实施而进行组织协调、资源调配、异常情况的处置等与项目相关的工作落实。能够指导其他代码安全漏洞专家完成各阶段的工作。要求技术过硬,熟悉研发及架构管理,具备Java、PHP、Python 等开发语言代码编码能力,熟悉常见代码安全漏洞。5年以上信息安全领域开发测试经验,具有至少1年以上银行同类项目工作经验。具有CISSP等信息安全相关资质认证。
②代码安全漏洞专家:负责针对应用系统源代码安全漏洞、代码编写规范进行扫描及分析,并能够给出整改建议,编写相关测试报告。熟悉常用代码漏洞扫描工具,并具有相关工具使用经验;熟悉代码安全漏洞种类,了解各类代码安全漏洞产生原因及解决方法。要求具有丰富的Java、PHP、Python 等开发语言编码经验,具有同类项目实施经验。具有CISSP等信息安全相关资质认证优先。
(三)服务交付文档:《源代码静态安全测试计划》《源代码静态安全测试执行记录》《源代码静态安全测试报告》。
(四)服务期限:自合同签订之日起12个月。
(五)验收要求:
1.项目验收由我行组织、乙方协助,对源代码静态安全测试服务过程及结果进行验收。
2.乙方按我行管理要求,在项目实施过程中及时提交相关项目文档,作为对测试服务过程验收的依据。提供的文档需符合我行TMMi3标准要求。
3.乙方提交的测试结果记录,各类问题需给出明确的解释说明或整改建议。测试报告中需对问题数量、严重级别、问题类型、整改情况进行说明,并能依据我行准出标准给出明确的测试结论。测试结果记录和测试报告作为对测试结果验收的依据。
(六)付款方式:根据项目实施进度分阶段进行付款,合同签订后支付25%,项目实施3个月后再支付20%,项目实施6个月后再支付20%,项目实施9个月后再支付25%,项目服务期满一年后完成项目终验支付剩余10%。
(七)履约保证金:无。
三、意向供应商资质要求及提交材料要求
(一)供应商资质要求
1.具有独立承担民事责任的能力。
2.具有良好的商业信誉和健全的财务会计制度。
3.具有履行合同所必需的设备和专业技术能力。
4.有依法缴纳税收和社会保障资金的良好记录。
5.最近三年内,在经营活动中没有重大违法记录。
6.法律、行政法规规定的其他条件。
7.具有银行同业同类型项目实施案例经验。
(二)提交材料内容
1.供应商情况表需提供盖章扫描件及Word可编辑版。
2.在“国家企业信用信息公示系统”、“信用中国”系统提供查询结果(截屏盖章),包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。
3.提交加盖单位公章的载有统一社会信用代码的营业执照,材料需为PDF格式文件。
(三)提交材料要求
1.邮件主题:项目名称+公司名称;邮件主题、正文、附件中不能含敏感字。
2.邮件正文中要写明公司的联系人姓名、手机号、邮箱。
3.须以传统方式黏贴附件,不能发云附件;发送的附件(压缩文件、文档等)不得设置密码或编辑权限;单个邮件大小控制在50MB以内(如果超限,可分几个邮件发)。
4.报名资料未按要求提供或提供不全的情况,采购人将拒绝其报名。
5.采购人视收到的上述材料不涉及商业秘密。
6.采购人可能根据项目情况取消采购,供应商应予接受。
7.不接受联合体参与报名,不得以任何形式转包或分包。
8.前来报名的供应商应保证所提供材料的真实合法性,并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利,如发现提供虚假材料的供应商,采购人将取消其本次及以后的报名资格。
四、征集期
自2024年12月16日起至2024年12月20日16时止。
请在规定时间内参与报名,截至报名日期后我行将不再接受任何形式的申请材料。
本招标项目仅供正式会员查看,您的权限不能浏览详细信息,请于下方联系人办理会员入网事宜,成为正式会员后可下载详细的招标、报名表格、项目附件和部分招标文件等。
联系人:李 工
电 话:17610398736
邮 箱:17610398736@163.com
温馨提示:本招标项目仅供正式会员查阅,您的权限不能浏览详细信息,请点击 注册 / 登录,或联系工作人员办理会员入网事宜,成为正式会员后方可获取详细的招标公告、报名表格、项目附件及部分项目招标文件等。