代码安全审计技术服务合同

代码安全审计技术服务合同甲方（委托方）：[甲方全称]统一社会信用代码：[甲方信用代码]地址：[甲方地址]法定代表人/授权代表：[甲方代表姓名]乙方（服务方）：[乙方全称]统一社会信用代码：[乙方信用代码]地址：[乙方地址]法定代表人/授权代表：[乙方代表姓名]鉴于甲方拟对其[项目名称]源代码开展安全审计，以识别潜在漏洞并提升系统安全性；乙方系具备国家认可信息安全服务资质的专业机构，拥有代码安全审计技术能力及经验，双方经平等协商，达成如下协议：第一条服务内容1.审计范围：甲方提供的[项目名称]源代码（版本号：[YYYYMMDD-XXX]），具体包含：-用户端核心模块（登录、支付、订单等）；-服务端API接口模块；-数据库交互模块；-甲方修改/集成的第三方组件（不含原始开源组件）；（注：审计范围不包含非核心测试代码、未编译模块）2.审计类型：白盒审计（结合静态代码分析+动态渗透验证）。3.漏洞覆盖：重点覆盖OWASPTop10（2021）及CWE常见漏洞，包括但不限于：SQL注入、XSS跨站脚本、命令注入、权限绕过、敏感信息泄露等。4.审计深度：核心业务代码覆盖比例不低于95%，每个模块至少3种不同测试场景验证。第二条服务流程1.需求确认：双方签订本合同后3个工作日内，确认《审计范围确认单》（附件一）。2.资料交付：甲方于确认单签署后5个工作日内，提供完整可编译源代码、系统架构图、接口文档；乙方收到资料后2个工作日内反馈完整性确认。3.审计实施：乙方制定审计方案（含时间节点、方法），经甲方确认后开展工作；每3个工作日同步进度，高危漏洞发现后1小时内书面告知甲方。4.初稿交付：审计启动后[15]个工作日内，乙方提交《代码安全审计报告》初稿。5.修改确认：甲方收到初稿后5个工作日内反馈修改意见，乙方3个工作日内完成修改并提交终稿。6.验收交付：甲方验收合格后，乙方交付终稿及《漏洞验证记录》（附件二）。7.后续支持：乙方免费提供1次漏洞修复后的验证服务（甲方需在终稿交付后30日内提供修复后代码），超出1次按[200元/小时]收费。第三条双方权利义务甲方权利义务1.权利：-要求乙方按约定完成审计并交付合格成果；-对审计过程中的疑问提出咨询，乙方需24小时内响应；-对乙方未履行保密义务的行为追究责任。2.义务：-按时提供完整、真实的源代码及相关文档，因资料不全导致审计延迟的，责任由甲方承担；-配合乙方开展审计（如提供测试账号、环境权限）；-按约定支付服务费用；-不得将乙方审计方法、报告用于本合同以外的用途。乙方权利义务1.权利：-要求甲方提供必要的审计资料及配合；-按约定收取服务费用；-对甲方未按时支付费用的行为暂停服务。2.义务：-具备《信息安全服务资质认证证书》（等级不低于二级）及CISP持证人员团队，需向甲方提供资质复印件；-严格按约定时间完成审计，不得擅自变更范围；-审计报告需包含：漏洞等级（按附件三定义）、描述、影响范围、复现步骤、修复建议；-对甲方源代码、商业秘密及审计过程中知晓的信息严格保密；-若甲方后续在约定范围内发现未披露的高危漏洞，乙方需免费补测并承担相应责任。第四条费用及支付1.服务费用：总金额为人民币[XXXXX]元（含税，税率[6%]）。2.支付方式：-合同签订后5个工作日内，甲方支付预付款[XXXXX]元（总金额的30%）；-审计报告终稿验收通过后5个工作日内，甲方支付剩余款项[XXXXX]元（总金额的70%）。3.发票：乙方在收到每笔款项后5个工作日内，向甲方开具等额增值税专用发票。第五条交付成果1.《代码安全审计报告》（终稿）：纸质版1份+电子版1份；2.《漏洞验证记录》：含高危漏洞的复现截图、POC（可选）；3.《审计过程日志》：含审计时间线、漏洞发现过程。第六条验收标准及流程1.验收期限：甲方收到终稿后5个工作日内完成验收。2.合格标准：-审计范围覆盖《审计范围确认单》全部内容；-漏洞分类准确（按附件三定义），高危漏洞无遗漏；-报告内容完整、逻辑清晰，修复建议具有可操作性；3.异议处理：甲方提出异议需书面说明理由，乙方3个工作日内响应并修改；修改后重新验收，若仍不合格，甲方有权解除合同并要求退还已支付费用，同时乙方需按合同总额的10%支付违约金。第七条知识产权1.甲方提供的源代码、文档的知识产权归甲方所有；2.乙方审计过程中产生的报告、方法的知识产权归乙方所有，但甲方有权用于自身项目的安全修复；3.双方不得将对方的知识产权用于本合同以外的用途。第八条保密1.保密范围：甲方源代码、商业秘密、审计结果；乙方审计方法、报价、人员信息。2.保密期限：合同有效期内及合同终止后2年。3.违约责任：任何一方泄露保密信息，需赔偿对方实际损失（包括直接损失、间接损失、诉讼费、律师费等）。第九条违约责任1.甲方逾期支付：按日万分之五支付违约金，逾期超过15日，乙方有权解除合同并要求甲方支付合同总额的20%作为违约金。2.乙方逾期交付：按日万分之五支付违约金，逾期超过10日，甲方有权解除合同并要求退还已支付费用，同时乙方需支付合同总额的15%作为违约金。3.乙方审计质量问题：若遗漏约定范围内的高危漏洞导致甲方损失，乙方需赔偿甲方实际损失（赔偿上限不超过合同总额的2倍）。第十条争议解决因本合同产生的争议，双方协商解决；协商不成的，提交甲方所在地有管辖权的人民法院诉讼解决。第十一条其他1.本合同自双方签字盖章之日起生效，有效期至服务结束且款项结清之日止。2.本合同一式两份，双方各执一份，具有同等法律效力。3.附件为本合同不可分割的组成部分，与本合同具有同等效力。附件清单：附件一：《审计范围确认单》附件二：《漏洞验证记录模板》附件三：《漏洞等级定义表》甲方（盖章）：____