代碼審計(jì)服務(wù)合同一、合同雙方基本信息甲方（委托方）名稱：________________________地址：________________________法定代表人/授權(quán)代表：________________________聯(lián)系方式：________________________乙方（受托方）名稱：________________________地址：________________________法定代表人/授權(quán)代表：________________________聯(lián)系方式：________________________二、服務(wù)內(nèi)容與范圍2.1核心審計(jì)服務(wù)乙方應(yīng)按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2025）及甲方業(yè)務(wù)特性，提供以下代碼審計(jì)服務(wù)：應(yīng)用程序安全審計(jì)：對(duì)甲方指定的Web應(yīng)用、移動(dòng)端應(yīng)用（iOS/Android）及后端服務(wù)代碼進(jìn)行自動(dòng)化掃描與人工滲透測(cè)試，重點(diǎn)檢測(cè)SQL注入、跨站腳本（XSS）、遠(yuǎn)程代碼執(zhí)行（RCE）等OWASPTop10漏洞。系統(tǒng)架構(gòu)安全評(píng)估：分析代碼邏輯設(shè)計(jì)缺陷，包括權(quán)限控制繞過(guò)、業(yè)務(wù)流程漏洞、敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)等，提供架構(gòu)優(yōu)化建議。第三方組件安全審查：對(duì)應(yīng)用依賴的開(kāi)源庫(kù)（如Apache、Tomcat）及商業(yè)組件進(jìn)行版本匹配檢測(cè)，核查CVE-2025-21335、CVE-2025-24813等2025年高風(fēng)險(xiǎn)漏洞的存在情況。合規(guī)性驗(yàn)證：針對(duì)甲方所屬行業(yè)（如金融/醫(yī)療）的監(jiān)管要求，驗(yàn)證代碼是否符合數(shù)據(jù)加密（SM2/SM4國(guó)密算法）、日志審計(jì)、訪問(wèn)控制等合規(guī)性條款。2.2交付成果乙方需在審計(jì)完成后10個(gè)工作日內(nèi)提交：《代碼審計(jì)總報(bào)告》（含漏洞清單、風(fēng)險(xiǎn)等級(jí)劃分及修復(fù)建議）；《漏洞復(fù)現(xiàn)文檔》（包含POC測(cè)試步驟、攻擊路徑截圖及影響范圍分析）；《源代碼安全編碼規(guī)范》（適配甲方開(kāi)發(fā)語(yǔ)言的定制化指南）。2.3漏洞修復(fù)支持針對(duì)審計(jì)發(fā)現(xiàn)的高危漏洞（風(fēng)險(xiǎn)等級(jí)≥8.0分），乙方需提供以下支持：提供漏洞修復(fù)代碼示例（如SQL參數(shù)化查詢實(shí)現(xiàn)、XSS過(guò)濾函數(shù)等）；協(xié)助甲方開(kāi)發(fā)團(tuán)隊(duì)進(jìn)行修復(fù)方案評(píng)審，提供2次遠(yuǎn)程技術(shù)指導(dǎo)（每次不超過(guò)2小時(shí)）；對(duì)修復(fù)后的代碼進(jìn)行二次驗(yàn)證，確保漏洞閉環(huán)。三、服務(wù)期限與進(jìn)度3.1服務(wù)周期本合同服務(wù)期限為_(kāi)___個(gè)月，自____年____月____日起至____年____月____日止。具體里程碑如下：?jiǎn)?dòng)階段（T+5日內(nèi)）：乙方完成審計(jì)環(huán)境部署（含測(cè)試服務(wù)器、漏洞掃描工具），甲方提供代碼倉(cāng)庫(kù)訪問(wèn)權(quán)限及業(yè)務(wù)流程圖；審計(jì)實(shí)施階段（T+30日內(nèi)）：完成自動(dòng)化掃描、人工滲透及漏洞驗(yàn)證；報(bào)告交付階段（T+40日內(nèi)）：提交正式審計(jì)報(bào)告并配合甲方進(jìn)行成果驗(yàn)收。3.2服務(wù)延期因甲方未能及時(shí)提供必要資料（如代碼權(quán)限、測(cè)試賬號(hào)）導(dǎo)致延期的，乙方服務(wù)周期可相應(yīng)順延，順延時(shí)間不超過(guò)15個(gè)自然日，且不額外收取費(fèi)用。四、服務(wù)費(fèi)用與支付方式4.1費(fèi)用構(gòu)成本合同總費(fèi)用為人民幣_(tái)_______元（大寫：________________元整），包含：基礎(chǔ)審計(jì)服務(wù)費(fèi)：占總費(fèi)用的70%，涵蓋人力成本、工具使用及報(bào)告編制；漏洞修復(fù)支持費(fèi)：占總費(fèi)用的20%，包含修復(fù)方案咨詢與二次驗(yàn)證；稅費(fèi)及差旅費(fèi)：占總費(fèi)用的10%（乙方人員赴甲方現(xiàn)場(chǎng)審計(jì)的交通、住宿費(fèi)用實(shí)報(bào)實(shí)銷，上限為總費(fèi)用的5%）。4.2支付節(jié)點(diǎn)首付款（40%）：合同簽訂后5個(gè)工作日內(nèi)，甲方向乙方支付人民幣_(tái)_______元；中期款（30%）：乙方提交《漏洞清單初稿》并經(jīng)甲方確認(rèn)后5個(gè)工作日內(nèi)支付；尾款（30%）：甲方完成審計(jì)報(bào)告驗(yàn)收且高危漏洞修復(fù)驗(yàn)證通過(guò)后10個(gè)工作日內(nèi)支付。4.3支付方式所有款項(xiàng)通過(guò)銀行轉(zhuǎn)賬支付至乙方指定賬戶（賬戶信息詳見(jiàn)附件一），乙方在收到款項(xiàng)后3個(gè)工作日內(nèi)開(kāi)具等額增值稅專用發(fā)票。五、雙方權(quán)利與義務(wù)5.1甲方權(quán)利與義務(wù)權(quán)利：要求乙方按合同約定時(shí)間提交成果，對(duì)審計(jì)報(bào)告中的漏洞描述及修復(fù)建議提出異議并要求書(shū)面解釋；義務(wù)：提供審計(jì)所需的代碼倉(cāng)庫(kù)權(quán)限、測(cè)試環(huán)境及業(yè)務(wù)說(shuō)明文檔，確保所提供資料的真實(shí)性與完整性；指定專人配合乙方工作，在收到審計(jì)報(bào)告后15個(gè)工作日內(nèi)完成驗(yàn)收。5.2乙方權(quán)利與義務(wù)權(quán)利：要求甲方按時(shí)支付服務(wù)費(fèi)用，對(duì)審計(jì)過(guò)程中接觸的商業(yè)秘密主張保密權(quán)；義務(wù)：遵守《網(wǎng)絡(luò)安全法》及《數(shù)據(jù)安全法》相關(guān)規(guī)定，審計(jì)過(guò)程中不得破壞甲方生產(chǎn)環(huán)境；指派具有CISAW信息安全保障人員認(rèn)證的團(tuán)隊(duì)執(zhí)行服務(wù)，核心審計(jì)人員需具備5年以上代碼審計(jì)經(jīng)驗(yàn)。六、保密條款6.1保密范圍雙方應(yīng)對(duì)合同履行過(guò)程中獲取的對(duì)方商業(yè)秘密承擔(dān)保密責(zé)任，包括但不限于：甲方的源代碼、數(shù)據(jù)庫(kù)結(jié)構(gòu)、業(yè)務(wù)邏輯及用戶數(shù)據(jù)；乙方的審計(jì)方法論、漏洞檢測(cè)工具及未公開(kāi)的漏洞利用技術(shù)；本合同條款及服務(wù)費(fèi)用信息。6.2保密期限保密義務(wù)自信息獲取之日起生效，至該信息公開(kāi)披露或法律規(guī)定的保護(hù)期屆滿后終止，不受合同終止影響。乙方審計(jì)團(tuán)隊(duì)成員需簽署《個(gè)人保密承諾書(shū)》（作為合同附件二），明確泄露信息的賠償責(zé)任。七、漏洞修復(fù)與驗(yàn)收標(biāo)準(zhǔn)7.1漏洞修復(fù)要求甲方應(yīng)在收到審計(jì)報(bào)告后30個(gè)工作日內(nèi)完成以下整改：高危漏洞：修復(fù)率需達(dá)到100%，并提供修復(fù)代碼及驗(yàn)證報(bào)告；中低危漏洞：修復(fù)率不低于80%，未修復(fù)漏洞需提供風(fēng)險(xiǎn)緩釋方案并經(jīng)乙方確認(rèn)。7.2驗(yàn)收流程初驗(yàn)：甲方完成漏洞修復(fù)后，向乙方提交《整改報(bào)告》，乙方在5個(gè)工作日內(nèi)通過(guò)遠(yuǎn)程驗(yàn)證確認(rèn)修復(fù)效果；終驗(yàn)：初驗(yàn)通過(guò)后，雙方簽署《服務(wù)驗(yàn)收單》，確認(rèn)審計(jì)服務(wù)合格。八、違約責(zé)任8.1乙方違約若乙方未按時(shí)交付審計(jì)報(bào)告（非甲方原因），每逾期1日按總費(fèi)用的0.5%支付違約金，累計(jì)不超過(guò)總費(fèi)用的10%；若審計(jì)報(bào)告存在重大遺漏（如未發(fā)現(xiàn)可直接導(dǎo)致數(shù)據(jù)泄露的高危漏洞），乙方需免費(fèi)提供二次審計(jì)，并退還30%服務(wù)費(fèi)用。8.2甲方違約若甲方未按時(shí)支付款項(xiàng)，每逾期1日按逾期金額的0.5%支付違約金；若甲方單方面解除合同（審計(jì)啟動(dòng)后），需支付已完成服務(wù)對(duì)應(yīng)比例的費(fèi)用，并承擔(dān)乙方已發(fā)生的差旅成本。九、爭(zhēng)議解決與法律適用9.1爭(zhēng)議解決雙方因合同履行發(fā)生爭(zhēng)議的，應(yīng)優(yōu)先通過(guò)友好協(xié)商解決；協(xié)商不成的，任何一方可向合同簽訂地有管轄權(quán)的人民法院提起訴訟。9.2法律適用本合同適用中華人民共和國(guó)法律（不含港澳臺(tái)地區(qū)法律），若服務(wù)涉及跨境數(shù)據(jù)傳輸，需同時(shí)符合《個(gè)人信息出境安全評(píng)估辦法》相關(guān)要求。十、其他條款10.1合同變更本合同的任何修改需經(jīng)雙方簽署書(shū)面補(bǔ)充協(xié)議后方可生效，補(bǔ)充協(xié)議與本合同具有同等法律效力。10.2合同份數(shù)本合同一式肆份，甲乙雙方各執(zhí)貳份，具有同等法律效力，自雙方法定代表人/授權(quán)代表簽字并加蓋公章之日起生效。10.3附件本合同附件（《收款賬戶信息》《個(gè)人保密承諾書(shū)》《審計(jì)范圍說(shuō)明書(shū)》）為本合同不可分割的組成部分，與正文具有同等法律效力。甲方（蓋章）：_________________