1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 经济/贸易/财会
  5. 稽查与征管/审计

代码安全审计技术服务合同.docVIP

  • 0
  • 0
  • 约2.6千字
  • 约 6页
  • 2026-02-04 发布于山东
  • 举报

代码安全审计技术服务合同.doc

    代码安全审计技术服务合同

    甲方(委托方):[甲方全称]

    统一社会信用代码:[甲方信用代码]

    地址:[甲方地址]

    法定代表人/授权代表:[甲方代表姓名]

    乙方(服务方):[乙方全称]

    统一社会信用代码:[乙方信用代码]

    地址:[乙方地址]

    法定代表人/授权代表:[乙方代表姓名]

    鉴于甲方拟对其[项目名称]源代码开展安全审计,以识别潜在漏洞并提升系统安全性;乙方系具备国家认可信息安全服务资质的专业机构,拥有代码安全审计技术能力及经验,双方经平等协商,达成如下协议:

    第一条服务内容

    1.审计范围:甲方提供的[项目名称]源代码(版本号:[YYYYMMDD-XXX]),具体包含:

    -用户端核心模块(登录、支付、订单等);

    -服务端API接口模块;

    -数据库交互模块;

    -甲方修改/集成的第三方组件(不含原始开源组件);

    (注:审计范围不包含非核心测试代码、未编译模块)

    2.审计类型:白盒审计(结合静态代码分析+动态渗透验证)。

    3.漏洞覆盖:重点覆盖OWASPTop10(2021)及CWE常见漏洞,包括但不限于:SQL注入、XSS跨站脚本、命令注入、权限绕过、敏感信息泄露等。

    4.审计深度:核心业务代码覆盖比例不低于95%,每个模块至少3种不同测试场景验证。

    第二条服务流程

    1.需求确认:双方签订本合同后3个工作日内,确认《审计范围确认单》(附件一)。

    2.资料交付:甲方于确认单签署后5个工作日内,提供完整可编译源代码、系统架构图、接口文档;乙方收到资料后2个工作日内反馈完整性确认。

    3.审计实施:乙方制定审计方案(含时间节点、方法),经甲方确认后开展工作;每3个工作日同步进度,高危漏洞发现后1小时内书面告知甲方。

    4.初稿交付:审计启动后[15]个工作日内,乙方提交《代码安全审计报告》初稿。

    5.修改确认:甲方收到初稿后5个工作日内反馈修改意见,乙方3个工作日内完成修改并提交终稿。

    6.验收交付:甲方验收合格后,乙方交付终稿及《漏洞验证记录》(附件二)。

    7.后续支持:乙方免费提供1次漏洞修复后的验证服务(甲方需在终稿交付后30日内提供修复后代码),超出1次按[200元/小时]收费。

    第三条双方权利义务

    甲方权利义务

    1.权利:

    -要求乙方按约定完成审计并交付合格成果;

    -对审计过程中的疑问提出咨询,乙方需24小时内响应;

    -对乙方未履行保密义务的行为追究责任。

    2.义务:

    -按时提供完整、真实的源代码及相关文档,因资料不全导致审计延迟的,责任由甲方承担;

    -配合乙方开展审计(如提供测试账号、环境权限);

    -按约定支付服务费用;

    -不得将乙方审计方法、报告用于本合同以外的用途。

    乙方权利义务

    1.权利:

    -要求甲方提供必要的审计资料及配合;

    -按约定收取服务费用;

    -对甲方未按时支付费用的行为暂停服务。

    2.义务:

    -具备《信息安全服务资质认证证书》(等级不低于二级)及CISP持证人员团队,需向甲方提供资质复印件;

    -严格按约定时间完成审计,不得擅自变更范围;

    -审计报告需包含:漏洞等级(按附件三定义)、描述、影响范围、复现步骤、修复建议;

    -对甲方源代码、商业秘密及审计过程中知晓的信息严格保密;

    -若甲方后续在约定范围内发现未披露的高危漏洞,乙方需免费补测并承担相应责任。

    第四条费用及支付

    1.服务费用:总金额为人民币[XXXXX]元(含税,税率[6%])。

    2.支付方式:

    -合同签订后5个工作日内,甲方支付预付款[XXXXX]元(总金额的30%);

    -审计报告终稿验收通过后5个工作日内,甲方支付剩余款项[XXXXX]元(总金额的70%)。

    3.发票:乙方在收到每笔款项后5个工作日内,向甲方开具等额增值税专用发票。

    第五条交付成果

    1.《代码安全审计报告》(终稿):纸质版1份+电子版1份;

    2.《漏洞验证记录》:含高危漏洞的复现截图、POC(可选);

    3.《审计过程日志》:含审计时间线、漏洞发现过程。

    第六条验收标准及流程

    1.验收期限:甲方收到终稿后5个工作日内完成验收。

    2.合格标准:

    -审计范围覆盖《审计范围确认单》全部内容;

    -漏洞分类准确(按附件三定义),高危漏洞无遗漏;

    -报告内容完整、逻辑清晰,修复建议具有可操作性;

    3.异议处理:甲方提出异议需书面说明理由,乙方3个工作日内响应并修改;修改后重新验收,若仍不合格,甲方有权解除合同并要求退还已支付费用,同时乙方需按合同总额的10%支付违约金。

    第七条知识产权

    1.甲方提供的源代码、文档的知识产权归甲方所有;

    2.乙方审计过程中产生的报告、方法的知识产权归乙方所有,但甲方有权用于自身项目的安全修复;

    3.双方不得将对方的知识产权用于本合同以外的用途。

    第八条保密

    1.保密范围:甲方源代码、商业秘密、审计结果;乙方审计方法、报价、人员信息。

    2.保密期限:合同有效期内及合同终

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >