一、项目名称：2025年源代码静态安全测试服务项目二、采购内容简介：（一）服务内容为进一步提高我行应用系统安全防护能力，需加强应用系统代码健壮性，减少在编码过程中引入的代码层面的安全漏洞，对我行应用系统开展源代码静态安全测试。具体如下：1.测试内容及方法源代码静态安全测试，测试内容包括代码安全漏洞扫描和开源组件漏扫报告检查。源代码静态安全测试具体检查项依赖于工具的代码漏洞规则库，测试方法采取工具扫描+人工分析相结合的方式。代码安全漏洞扫描使用我行奇安信代码卫士漏洞扫描工具，开源组件漏洞扫描主要是针对开发人员提交的所有开源组件漏洞扫描报告进行检查确认。2.测试系统范围源代码静态安全测试扫描范围覆盖我行全部信息系统，目前包括220个信息系统，具体根据各系统源代码入库情况开展测试。如项目实施过程中，我行信息系统范围发生变更（新增或减少），需根据最新系统范围清单开展测试。3.测试频次：代码安全漏洞扫描：（1）投产版本测试：需根据项目投产周期及时间，在月版项目及紧急项目投产前，按要求对被测系统的投产版本完成源代码静态安全测试。（2）全量版本测试：在本静态安全测试服务项目实施周期内，需针对测试系统范围中的各重要信息****系统和互联类信息系统，至少开展一次全量版本的源代码静态安全测试。开源组件漏洞扫描：针对开发人员提交的所有开源组件漏洞扫描报告进行检查，确认项目封版版本符合安全准出条件。4.测试要求：（1）源代码静态安全测试使用我行自有代码漏洞扫描工具执行扫描，若我行代码漏洞扫描工具无法满足特殊测试需要，需由服务商负责补充提供满足测试需要的代码扫描工具；（2）对于源代码静态安全测试工具扫描结果，服务商需提供相关驻场测试人员对扫描结果进行人工分析及复核，从而进一步排除误报、确认问题，并给出相关整改建议；（3）驻场测试人员需跟踪相关漏洞问题，根据问题整改情况及时开展复测并评估最终测试结果。（4）本次源代码静态安全测试服务项目实施周期内，驻场测试人员需不少于6人。（二）人员要求：此项目应保证至少提供6人，包括项目经理1人、代码安全漏洞专家5人。具体人员要求如下：①项目经理：负责项目整体的管控，包括制定测试计划、组织测试实施、进行进度控制、质量控制和风险管理等。为保证项目正常实施而进行组织协调、资源调配、异常情况的处置等与项目相关的工作落实。能够指导其他代码安全漏洞专家完成各阶段的工作。要求技术过硬，熟悉研发及架构管理，具备Java、PHP、Python 等开发语言代码编码能力，熟悉常见代码安全漏洞。5年以上信息安全领域开发测试经验，具有至少1年以上银行同类项目工作经验。具有CISSP等信息安全相关资质认证。②代码安全漏洞专家：负责针对应用系统源代码安全漏洞、代码编写规范进行扫描及分析，并能够给出整改建议，编写相关测试报告。熟悉常用代码漏洞扫描工具，并具有相关工具使用经验；熟悉代码安全漏洞种类，了解各类代码安全漏洞产生原因及解决方法。要求具有丰富的Java、PHP、Python 等开发语言编码经验，具有同类项目实施经验。具有CISSP等信息安全相关资质认证优先。（三）服务交付文档：《源代码静态安全测试计划》《源代码静态安全测试执行记录》《源代码静态安全测试报告》。（四）服务期限：自合同签订之日起12个月。（五）验收要求：1.项目验收由我行组织、乙方协助，对源代码静态安全测试服务过程及结果进行验收。2.乙方按我行管理要求，在项目实施过程中及时提交相关项目文档，作为对测试服务过程验收的依据。提供的文档需符合我行TMMi3标准要求。3.乙方提交的测试结果记录，各类问题需给出明确的解释说明或整改建议。测试报告中需对问题数量、严重级别、问题类型、整改情况进行说明，并能依据我行准出标准给出明确的测试结论。测试结果记录和测试报告作为对测试结果验收的依据。（六）付款方式：根据项目实施进度分阶段进行付款，合同签订后支付25%，项目实施3个月后再支付20%，项目实施6个月后再支付20%，项目实施9个月后再支付25%，项目服务期满一年后完成项目终验支付剩余10%。（七）履约保证金：无。

本招标项目仅供正式会员查阅，您的权限不能浏览详细信息,请点击注册/登录，联系工作人员办理入网升级。