代碼審計(jì)技術(shù)服務(wù)合同第一條合同雙方基本信息甲方（委托方）名稱：________________________地址：________________________法定代表人：__________________聯(lián)絡(luò)方式：____________________統(tǒng)一社會信用代碼：____________乙方（受托方）名稱：________________________地址：________________________法定代表人：__________________聯(lián)絡(luò)方式：____________________統(tǒng)一社會信用代碼：____________第二條服務(wù)范圍與內(nèi)容2.1審計(jì)對象乙方需對甲方指定的以下系統(tǒng)進(jìn)行代碼安全審計(jì)：核心業(yè)務(wù)系統(tǒng)（包括但不限于________________________）第三方開源組件及框架（如Spring、Struts2、MyBatis等）移動端應(yīng)用（iOS/Android）源代碼數(shù)據(jù)庫存儲過程及配置文件2.2審計(jì)內(nèi)容乙方應(yīng)采用自動化工具掃描與人工驗(yàn)證相結(jié)合的方式，覆蓋以下安全維度：（1）開源框架安全審計(jì)反序列化漏洞（如ApacheCommonsCollections、Fastjson等）框架版本兼容性缺陷（如Log4j2遠(yuǎn)程代碼執(zhí)行漏洞）依賴組件安全（通過SBOM清單檢測已知CVE漏洞）（2）應(yīng)用代碼安全審計(jì)輸入驗(yàn)證缺陷：SQL注入、跨站腳本（XSS）、命令注入等認(rèn)證授權(quán)缺陷：會話固定、越權(quán)訪問、密碼策略繞過敏感信息泄露：明文存儲密碼、日志偽造、傳輸加密缺失業(yè)務(wù)邏輯缺陷：密碼找回機(jī)制繞過、交易流程篡改、接口冪等性問題（3）API安全審計(jì)接口權(quán)限未校驗(yàn)（如未授權(quán)訪問敏感數(shù)據(jù)接口）參數(shù)篡改風(fēng)險（如價格、訂單狀態(tài)等關(guān)鍵參數(shù)可被修改）限流與防重放機(jī)制缺失（4）配置規(guī)范性審計(jì)數(shù)據(jù)庫最小權(quán)限原則執(zhí)行情況Web服務(wù)器目錄遍歷防護(hù)配置代碼注釋中敏感信息殘留（如硬編碼密鑰、測試賬號）2.3交付成果乙方需提交以下文件：《代碼安全審計(jì)報(bào)告》（含漏洞清單、風(fēng)險等級評估、修復(fù)建議）《源代碼整改方案》（針對高危漏洞提供可執(zhí)行修復(fù)代碼示例）《安全編碼規(guī)范手冊》（適配甲方開發(fā)語言的定制化指南）第三條服務(wù)期限與流程3.1服務(wù)周期啟動階段（T+3日）：甲方提交完整源代碼及環(huán)境說明文檔，乙方完成審計(jì)環(huán)境搭建審計(jì)實(shí)施階段（T+15日）：自動化掃描（使用SonarQube、Checkmarx等工具）與人工滲透驗(yàn)證報(bào)告交付階段（T+20日）：提交審計(jì)報(bào)告初稿，甲方反饋意見后5個工作日內(nèi)完成修訂整改復(fù)測階段（T+30日）：對甲方修復(fù)后的代碼進(jìn)行二次驗(yàn)證，出具復(fù)測報(bào)告3.2延期約定因甲方未及時提供資料導(dǎo)致工期延誤的，服務(wù)周期相應(yīng)順延；因乙方技術(shù)原因無法按期完成的，每逾期1日按服務(wù)費(fèi)用的0.5%支付違約金。第四條雙方權(quán)利與義務(wù)4.1甲方權(quán)利義務(wù)提供審計(jì)所需的全部源代碼（含歷史版本庫權(quán)限）、開發(fā)文檔及測試環(huán)境指定至少2名技術(shù)接口人，配合乙方進(jìn)行漏洞驗(yàn)證與整改溝通對審計(jì)過程中發(fā)現(xiàn)的漏洞，有權(quán)要求乙方提供技術(shù)原理說明及修復(fù)優(yōu)先級建議4.2乙方權(quán)利義務(wù)承諾審計(jì)團(tuán)隊(duì)至少包含1名擁有CISAW信息安全保障人員認(rèn)證的工程師對發(fā)現(xiàn)的高危漏洞（如遠(yuǎn)程代碼執(zhí)行、敏感數(shù)據(jù)泄露）需在24小時內(nèi)口頭通報(bào)甲方不得將審計(jì)過程中接觸的源代碼用于合同約定外的其他目的，審計(jì)結(jié)束后15日內(nèi)刪除所有甲方數(shù)據(jù)第五條服務(wù)費(fèi)用與支付方式5.1費(fèi)用構(gòu)成服務(wù)項(xiàng)單價（元）數(shù)量小計(jì)（元）自動化掃描工具使用20,0001套20,000人工審計(jì)服務(wù)1,500/人日30人日45,000漏洞復(fù)測與報(bào)告修訂10,0001次10,000合計(jì)75,0005.2支付節(jié)點(diǎn)首付款（合同簽訂后5日內(nèi)）：30%，即22,500元中期款（審計(jì)報(bào)告初稿交付后）：50%，即37,500元尾款（復(fù)測通過后）：20%，即15,000元第六條保密條款6.1保密范圍包括但不限于甲方源代碼、業(yè)務(wù)邏輯、漏洞信息、用戶數(shù)據(jù)及本合同內(nèi)容。乙方需與參與項(xiàng)目的所有人員簽訂《保密承諾書》，并作為合同附件。6.2保密期限自合同簽訂之日起至服務(wù)結(jié)束后5年內(nèi)有效，不因合同終止而失效。6.3違約責(zé)任乙方違反保密義務(wù)導(dǎo)致甲方損失的，需賠償直接經(jīng)濟(jì)損失，并承擔(dān)由此產(chǎn)生的律師費(fèi)、訴訟費(fèi)等維權(quán)費(fèi)用。第七條技術(shù)標(biāo)準(zhǔn)與驗(yàn)收7.1審計(jì)標(biāo)準(zhǔn)符合GB/T28452-2012《信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級保護(hù)測評指南》覆蓋OWASPTop10（2021版）全部風(fēng)險類別高危漏洞修復(fù)驗(yàn)證通過率需達(dá)到100%，中低危漏洞修復(fù)率不低于90%7.2驗(yàn)收方式甲方組織技術(shù)團(tuán)隊(duì)對審計(jì)報(bào)告中的漏洞進(jìn)行抽樣驗(yàn)證（抽樣比例不低于30%），驗(yàn)證通過后簽署《服務(wù)驗(yàn)收單》。第八條違約責(zé)任甲方逾期付款超15日的，每逾期1日按未付金額的0.3%支付違約金乙方未發(fā)現(xiàn)的高危漏洞在審計(jì)完成后6個月內(nèi)被第三方利用的，需退還50%服務(wù)費(fèi)用并免費(fèi)提供應(yīng)急響應(yīng)服務(wù)第九條爭議解決因本合同引起的爭議，雙方應(yīng)優(yōu)先通過協(xié)商解決；協(xié)商不成的，提交甲方所在地有管轄權(quán)的人民法院訴訟解決。第十條其他條款本合同自雙方法定代表人簽字并加蓋公章之日起生效未盡事宜可簽訂補(bǔ)充協(xié)議，補(bǔ)充協(xié)議與本合同具有同等法律效力合同一式肆份，甲乙雙方各執(zhí)貳份，具有同等法律效力（以下無正文）甲方（蓋章）：____________________法定代表人簽字：____________________日期：______年____月____日乙方（蓋章）：_____