代碼安全審計(jì)技術(shù)服務(wù)合同甲方（委托方）：[甲方全稱]統(tǒng)一社會(huì)信用代碼：[甲方信用代碼]地址：[甲方地址]法定代表人/授權(quán)代表：[甲方代表姓名]乙方（服務(wù)方）：[乙方全稱]統(tǒng)一社會(huì)信用代碼：[乙方信用代碼]地址：[乙方地址]法定代表人/授權(quán)代表：[乙方代表姓名]鑒于甲方擬對(duì)其[項(xiàng)目名稱]源代碼開展安全審計(jì)，以識(shí)別潛在漏洞并提升系統(tǒng)安全性；乙方系具備國家認(rèn)可信息安全服務(wù)資質(zhì)的專業(yè)機(jī)構(gòu)，擁有代碼安全審計(jì)技術(shù)能力及經(jīng)驗(yàn)，雙方經(jīng)平等協(xié)商，達(dá)成如下協(xié)議：第一條服務(wù)內(nèi)容1.審計(jì)范圍：甲方提供的[項(xiàng)目名稱]源代碼（版本號(hào)：[YYYYMMDD-XXX]），具體包含：-用戶端核心模塊（登錄、支付、訂單等）；-服務(wù)端API接口模塊；-數(shù)據(jù)庫交互模塊；-甲方修改/集成的第三方組件（不含原始開源組件）；（注：審計(jì)范圍不包含非核心測(cè)試代碼、未編譯模塊）2.審計(jì)類型：白盒審計(jì)（結(jié)合靜態(tài)代碼分析+動(dòng)態(tài)滲透驗(yàn)證）。3.漏洞覆蓋：重點(diǎn)覆蓋OWASPTop10（2021）及CWE常見漏洞，包括但不限于：SQL注入、XSS跨站腳本、命令注入、權(quán)限繞過、敏感信息泄露等。4.審計(jì)深度：核心業(yè)務(wù)代碼覆蓋比例不低于95%，每個(gè)模塊至少3種不同測(cè)試場(chǎng)景驗(yàn)證。第二條服務(wù)流程1.需求確認(rèn)：雙方簽訂本合同后3個(gè)工作日內(nèi)，確認(rèn)《審計(jì)范圍確認(rèn)單》（附件一）。2.資料交付：甲方于確認(rèn)單簽署后5個(gè)工作日內(nèi)，提供完整可編譯源代碼、系統(tǒng)架構(gòu)圖、接口文檔；乙方收到資料后2個(gè)工作日內(nèi)反饋完整性確認(rèn)。3.審計(jì)實(shí)施：乙方制定審計(jì)方案（含時(shí)間節(jié)點(diǎn)、方法），經(jīng)甲方確認(rèn)后開展工作；每3個(gè)工作日同步進(jìn)度，高危漏洞發(fā)現(xiàn)后1小時(shí)內(nèi)書面告知甲方。4.初稿交付：審計(jì)啟動(dòng)后[15]個(gè)工作日內(nèi)，乙方提交《代碼安全審計(jì)報(bào)告》初稿。5.修改確認(rèn)：甲方收到初稿后5個(gè)工作日內(nèi)反饋修改意見，乙方3個(gè)工作日內(nèi)完成修改并提交終稿。6.驗(yàn)收交付：甲方驗(yàn)收合格后，乙方交付終稿及《漏洞驗(yàn)證記錄》（附件二）。7.后續(xù)支持：乙方免費(fèi)提供1次漏洞修復(fù)后的驗(yàn)證服務(wù)（甲方需在終稿交付后30日內(nèi)提供修復(fù)后代碼），超出1次按[200元/小時(shí)]收費(fèi)。第三條雙方權(quán)利義務(wù)甲方權(quán)利義務(wù)1.權(quán)利：-要求乙方按約定完成審計(jì)并交付合格成果；-對(duì)審計(jì)過程中的疑問提出咨詢，乙方需24小時(shí)內(nèi)響應(yīng)；-對(duì)乙方未履行保密義務(wù)的行為追究責(zé)任。2.義務(wù)：-按時(shí)提供完整、真實(shí)的源代碼及相關(guān)文檔，因資料不全導(dǎo)致審計(jì)延遲的，責(zé)任由甲方承擔(dān)；-配合乙方開展審計(jì)（如提供測(cè)試賬號(hào)、環(huán)境權(quán)限）；-按約定支付服務(wù)費(fèi)用；-不得將乙方審計(jì)方法、報(bào)告用于本合同以外的用途。乙方權(quán)利義務(wù)1.權(quán)利：-要求甲方提供必要的審計(jì)資料及配合；-按約定收取服務(wù)費(fèi)用；-對(duì)甲方未按時(shí)支付費(fèi)用的行為暫停服務(wù)。2.義務(wù)：-具備《信息安全服務(wù)資質(zhì)認(rèn)證證書》（等級(jí)不低于二級(jí)）及CISP持證人員團(tuán)隊(duì)，需向甲方提供資質(zhì)復(fù)印件；-嚴(yán)格按約定時(shí)間完成審計(jì)，不得擅自變更范圍；-審計(jì)報(bào)告需包含：漏洞等級(jí)（按附件三定義）、描述、影響范圍、復(fù)現(xiàn)步驟、修復(fù)建議；-對(duì)甲方源代碼、商業(yè)秘密及審計(jì)過程中知曉的信息嚴(yán)格保密；-若甲方后續(xù)在約定范圍內(nèi)發(fā)現(xiàn)未披露的高危漏洞，乙方需免費(fèi)補(bǔ)測(cè)并承擔(dān)相應(yīng)責(zé)任。第四條費(fèi)用及支付1.服務(wù)費(fèi)用：總金額為人民幣[XXXXX]元（含稅，稅率[6%]）。2.支付方式：-合同簽訂后5個(gè)工作日內(nèi)，甲方支付預(yù)付款[XXXXX]元（總金額的30%）；-審計(jì)報(bào)告終稿驗(yàn)收通過后5個(gè)工作日內(nèi)，甲方支付剩余款項(xiàng)[XXXXX]元（總金額的70%）。3.發(fā)票：乙方在收到每筆款項(xiàng)后5個(gè)工作日內(nèi)，向甲方開具等額增值稅專用發(fā)票。第五條交付成果1.《代碼安全審計(jì)報(bào)告》（終稿）：紙質(zhì)版1份+電子版1份；2.《漏洞驗(yàn)證記錄》：含高危漏洞的復(fù)現(xiàn)截圖、POC（可選）；3.《審計(jì)過程日志》：含審計(jì)時(shí)間線、漏洞發(fā)現(xiàn)過程。第六條驗(yàn)收標(biāo)準(zhǔn)及流程1.驗(yàn)收期限：甲方收到終稿后5個(gè)工作日內(nèi)完成驗(yàn)收。2.合格標(biāo)準(zhǔn)：-審計(jì)范圍覆蓋《審計(jì)范圍確認(rèn)單》全部?jī)?nèi)容；-漏洞分類準(zhǔn)確（按附件三定義），高危漏洞無遺漏；-報(bào)告內(nèi)容完整、邏輯清晰，修復(fù)建議具有可操作性；3.異議處理：甲方提出異議需書面說明理由，乙方3個(gè)工作日內(nèi)響應(yīng)并修改；修改后重新驗(yàn)收，若仍不合格，甲方有權(quán)解除合同并要求退還已支付費(fèi)用，同時(shí)乙方需按合同總額的10%支付違約金。第七條知識(shí)產(chǎn)權(quán)1.甲方提供的源代碼、文檔的知識(shí)產(chǎn)權(quán)歸甲方所有；2.乙方審計(jì)過程中產(chǎn)生的報(bào)告、方法的知識(shí)產(chǎn)權(quán)歸乙方所有，但甲方有權(quán)用于自身項(xiàng)目的安全修復(fù)；3.雙方不得將對(duì)方的知識(shí)產(chǎn)權(quán)用于本合同以外的用途。第八條保密1.保密范圍：甲方源代碼、商業(yè)秘密、審計(jì)結(jié)果；乙方審計(jì)方法、報(bào)價(jià)、人員信息。2.保密期限：合同有效期內(nèi)及合同終止后2年。3.違約責(zé)任：任何一方泄露保密信息，需賠償對(duì)方實(shí)際損失（包括直接損失、間接損失、訴訟費(fèi)、律師費(fèi)等）。第九條違約責(zé)任1.甲方逾期支付：按日萬分之五支付違約金，逾期超過15日，乙方有權(quán)解除合同并要求甲方支付合同總額的20%作為違約金。2.乙方逾期交付：按日萬分之五支付違約金，逾期超過10日，甲方有權(quán)解除合同并要求退還已支付費(fèi)用，同時(shí)乙方需支付合同總額的15%作為違約金。3.乙方審計(jì)質(zhì)量問題：若遺漏約定范圍內(nèi)的高危漏洞導(dǎo)致甲方損失，乙方需賠償甲方實(shí)際損失（賠償上限不超過合同總額的2倍）。第十條爭(zhēng)議解決因本合同產(chǎn)生的爭(zhēng)議，雙方協(xié)商解決；協(xié)商不成的，提交甲方所在地有管轄權(quán)的人民法院訴訟解決。第十一條其他1.本合同自雙方簽字蓋章之日起生效，有效期至服務(wù)結(jié)束且款項(xiàng)結(jié)清之日止。2.本合同一式兩份，雙方各執(zhí)一份，具有同等法律效力。3.附件為本合同不可分割的組成部分，與本合同具有同等效力。附件清單：附件一：《審計(jì)范圍確認(rèn)單》附件二：《漏洞驗(yàn)證記錄模板》附件三：《漏洞等級(jí)定義表》甲方（蓋章）：____