北京农商银行2026年源代码静态安全测试服务项目供应商征集公告

一、项目名称:2026年源代码静态安全测试服务项目 
二、采购内容简介:

(一)服务内容

为进一步提高我行应用系统安全防护能力,减少在编码过程中引入的代码层面的安全漏洞,需对我行应用系统开展源代码静态安全测试。具体如下:

1.测试内容及方法

源代码静态安全测试,包括代码安全漏洞扫描、开发自测源代码缺陷报告检查和开源组件漏扫报告检查。代码安全漏洞扫描使用我行奇安信代码卫士漏洞扫描工具,源代码静态安全测试具体检查项依赖于工具的代码漏洞规则库,测试方法采取工具扫描+人工分析相结合的方式。开发自测源代码缺陷报告检查和开源组件漏扫报告检查主要是针对开发人员提交的所有开发自测源代码缺陷报告和开源组件漏洞扫描报告进行检查确认是否符合要求。

2.测试系统范围

源代码静态安全测试扫描范围覆盖我行全部信息系统,目前包括317个信息系统,具体根据各系统源代码入库情况开展测试。如项目实施过程中,我行信息系统范围发生变更(新增或减少),需根据最新信息系统名录开展测试。

3.测试频次:

代码安全漏洞扫描:

1)投产版本测试:需根据项目投产周期及时间,在月版项目、周版项目及缺陷版项目投产前,按要求对被测系统的投产版本完成源代码静态安全测试。

2)全量版本测试:在本静态安全测试服务项目实施周期内,需针对测试系统范围中的各信息系统,至少开展一次全量版本的源代码静态安全测试。

开发自测源代码缺陷报告和开源组件漏扫报告检查:针对开发人员提交的所有源代码缺陷报告和开源组件漏洞扫描报告进行检查,确认项目封版版本符合安全准出条件。

4.测试要求:

1)源代码静态安全测试使用我行自有代码漏洞扫描工具执行扫描,若我行代码漏洞扫描工具无法满足特殊测试需要,需由服务商负责补充提供满足测试需要的代码扫描工具;

2)对于源代码静态安全测试工具扫描结果,服务商需提供相关驻场测试人员对扫描结果进行人工分析及复核,从而进一步排除误报、确认问题,并给出相关整改建议;

3)驻场测试人员需跟踪相关漏洞问题,根据问题整改情况及时开展复测并评估最终测试结果。

4)本次源代码静态安全测试服务项目实施周期内,驻场测试人员需不少于6人。

(二)人员要求:

此项目应保证至少提供6人,包括项目经理1人、代码安全漏洞专家5人。具体人员要求如下:

①项目经理:负责项目整体的管控,包括制定测试计划、组织测试实施、进行进度控制、质量控制和风险管理等。为保证项目正常实施而进行组织协调、资源调配、异常情况的处置等与项目相关的工作落实。能够指导其他代码安全漏洞专家完成各阶段的工作。要求技术过硬,熟悉研发及架构管理,具备Java、PHP、Python 等开发语言代码编码能力,熟悉常见代码安全漏洞。5年以上信息安全领域开发测试经验,具有至少1年以上银行同类项目工作经验。

②代码安全漏洞专家:负责针对应用系统源代码安全漏洞、代码编写规范进行扫描及分析,并能够给出整改建议,编写相关测试报告。熟悉常用代码漏洞扫描工具,并具有相关工具使用经验;熟悉代码安全漏洞种类,了解各类代码安全漏洞产生原因及解决方法。要求具有丰富的Java、PHP、Python 等开发语言编码经验,具有1年以上工作经验。

(三)服务交付文档:《源代码静态安全测试计划》《源代码静态安全测试执行记录》《源代码静态安全测试报告》。

(四)服务期限:自合同签订之日起12个月。

(五)验收要求:

1.项目验收由我行组织、服务商协助,对源代码静态安全测试服务过程及结果进行验收。

2.服务商按我行管理要求,在项目实施过程中及时提交相关项目文档,作为对测试服务过程验收的依据。

3.服务商提交的测试结果记录,各类问题需给出明确的解释说明或整改建议。测试报告中需对问题数量、严重级别、问题类型、整改情况进行说明,并能依据我行准出标准给出明确的测试结论。测试结果记录和测试报告作为对测试结果验收的依据。

(六)付款方式:合同签订且项目组全部服务人员进场后30天支付5%,完成服务期内全部工作且项目初验通过支付65%,项目验收满一年后支付剩余30%。

(七)履约保证金:无。

、意向供应商资质要求及提交材料要求

(一)供应商资质要求

1、基本要求:

(1)具有独立承担民事责任的能力;

(2)具有良好的商业信誉和健全的财务会计制度;

(3)具有履行合同所必需的设备和专业技术能力;

(4)有依法缴纳税收和社会保障资金的良好记录;

(5)参加采购活动前三年内,在经营活动中没有重大违法违规记录;

6)存在关联关系的不同单位,不得同时参与本项目;

(7)本项目不接受联合体参与,不接受分包、转包。

2.针对本项目供应商应具备的具体要求:

1)资质要求:

t具有信息安全管理体系认证证书。

2)提供的产品或服务须具有近5年(自2021年起至今)的项目案例。

       t 同业同类案例

  (二)提交材料内容 

1.供应商情况表需提供盖章扫描件及Word可编辑版。

2.具有良好的商业信誉和健全的财务会计制度书面声明并加盖公章,此项材料要求为PDF格式文件。

3.具有依法缴纳税收和社会保障资金的良好记录书面声明并加盖公章,此项材料要求为PDF格式文件。

4.“国家企业信用信息公示系统”、“信用中国”系统提供查询结果(截屏盖章),包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。  

5.近三年内在经营活动中没有重大违法记录书面声明并加盖公章,此项材料要求为PDF格式文件。

6.提交加盖单位公章的载有统一社会信用代码的营业执照,材料需为PDF格式文件。

7.提交无关联关系公司参与本项目承诺函并加盖公章。

8.提交符合前述案例要求的合同扫描件(1个及以上,包括不限于合同首尾页、盖章页、服务内容页等)并加盖公章。此项材料要求为PDF格式文件。

9.提供上述要求的资质文件扫描件。

(三)提交材料要求
  1.邮件主题:项目名称+公司名称;邮件主题、正文、附件中不能含敏感字。
  2.邮件正文中要写明公司的联系人姓名、手机号、邮箱。
  3.须以传统方式黏贴附件,不能发云附件;发送的附件(压缩文件、文档等)不得设置密码或编辑权限;单个邮件大小控制在50MB以内(如果超限,可分几个邮件发)。
  4.报名资料未按要求提供或提供不全的情况,采购人将拒绝其报名

5.采购人视收到的上述材料不涉及商业秘密

6.采购人可能根据项目情况取消采购,供应商应予接受。

7.前来报名的供应商应保证所提供材料的真实合法性,并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利,如发现提供虚假材料的供应商,采购人将取消其本次及以后的报名资格。

8.存在关联的公司在同一项目中只能参选1家公司。

四、征集期

自2025年11月10日起至2025年11月14日16时止。

请在规定时间内参与报名,截至报名日期后我行将不再接受任何形式的申请材料。
    联系人及电话:张老师  010-58727336

邮箱地址(专用):jhcw_gyszj@bjrcb.com

 

                               北京农村商业银行股份有限公司

2025年11月10日

 


供应商情况表.doc