根据业务发展需要，按照宁波银行股份有限公司采购相关管理办法，我行拟对《智能代码审计系统项目》面向社会公开征集供应商，诚邀符合条件的供应商参与方案洽谈。

一、资质要求

1、注册资金人民币200万元（含）以上，财务状况良好；

2、公司经营正常并存续2年（含）以上；

3、企业或者其法人近两年内无行贿犯罪记录，未被列入失信执行人名单，无限制高消费、限制出入境等行为；

4、公司具备完善的组织架构和制度规范，拥有充足的技术、人员和设备资源；

5、同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名；

6、参与报名的供应商能作为签约主体参与后期的商务流程；

7、设备和产品应满足《网络安全法》等法律法规要求；

8、报名供应商应符合宁波银行供应商管理相关要求；

9、如报名供应商为首次与我行合作供应商，请按附件格式提供“供应商尽职调查报告”。

二、技术要求

1、技术能力与产品案例：

①自主研发能力：供应商应具备系统核心能力的自主研发经验，包括但不限于代码语义理解、跨文件或跨函数调用链分析、漏洞推理、自动化验证、修复建议生成、审计报告生成及流程编排能力，不得仅基于开源项目或通用大模型进行简单封装。

②案例：供应商应具备银行业AI产品落地实施经验，近3年内拥有系统重要性银行AI类产品落地案例，需提供合同关键页、实施说明或用户证明材料，能够证明其产品已用于安全运营或安全评估。

三、报名方式及起始时间

请符合条件的供应商在2026年6月25日之前,通过“点击报名”方式进行报名，报名链接如下：https://cpms.nbcb.com.cn/cpms7net/WebSite/WebSiteIndex，并按要求填写相关报名材料。

四、联系方式

联系人：童迪杰0574-87821427（采购部）

李忠诚13940440983（业务部）

智能代码审计系统项目主要需求概述

一、技术需求

1.漏洞发现

（1）深度语义理解：系统应基于大模型的代码语义理解与逻辑推理能力，对源代码、配置文件、脚本、依赖关系及接口交互进行关联分析，支持发现传统规则型SAST难以识别的业务逻辑漏洞、权限绕过、越权访问、鉴权缺失、交易流程缺陷、敏感数据滥用等问题。

（2）常见漏洞发现：支持针对OWASP Top 10、CWE常见漏洞类型进行自动化识别，包括但不限于SQL注入、命令执行、代码执行、反序列化、任意文件读写/上传下载、路径穿越、SSRF、XXE、模板注入、表达式注入等。

（3）未知风险发现：具备对非预置规则的发现能力，能够识别异常业务路径、可疑代码片段、潜在恶意逻辑、供应链投毒及0day/1day相关风险线索，并给出分析依据。

（4）跨文件与跨过程分析：支持跨函数、跨模块、跨文件的调用链跟踪，识别从输入源到危险函数的可达路径，能够结合数据流、控制流和上下文约束对漏洞可利用性进行推理。

（5）误报控制：支持结合上下文推理、prompt/skills约束、知识库或人工反馈机制降低误报率，并支持对误报结果进行标记学习、规则调优或知识沉淀。

2.漏洞验证与修复建议

（1）漏洞验证：系统能够针对发现的问题，自动生成或辅助生成验证思路、复现步骤、测试样例、验证POC，用于证明漏洞的可达性和实际风险，避免仅给出静态猜测结果。

（2）修复建议：针对发现的风险提供可操作的修复建议，至少应包含问题成因说明、示例修复代码或补丁建议，支持研发人员人工审核后落地。

（3）结果可解释：审计结果应具备充分可解释性，能够展示漏洞类型、触发位置、调用链、关键证据、风险等级及利用条件，支持从“结论可解释”延伸到“过程可解释”和“修复可解释”。

3.SDL嵌入与流程管控能力

（1）研发流程嵌入：支持嵌入代码开发、代码提交、合并请求、构建发布、测试验收和上线前评估等关键环节，可与IDE、代码仓库、CI/CD流水线、工单平台和漏洞管理系统进行对接。

（2）审计触发：支持按项目、分支、标签、里程碑或发布阶段自动触发审计任务。

（3）闭环管理：支持问题分派、整改跟踪、复测验证、风险豁免、审计留痕及版本对比，形成“发现-验证-修复-复核-归档”的完整闭环。

4.兼容性与部署能力

（1）语言框架兼容：支持主流编程语言及其生态，包括但不限于Java、Python、Go、JavaScript/TypeScript、PHP、C/C++、C#等；支持Spring、Spring Boot、MyBatis、Django、Flask、Gin、Express、Node.js、.NET等主流框架或同类技术栈。

（2）代码规模支持：应具备2000w+行代码规模项目的统一分析能力，支持多仓库、单体应用、微服务、组件化工程及复杂依赖关系场景。

（3）交付方式：支持私有化部署，并可根据需要支持离线部署、分布式部署或混合部署；支持模型、向量库、规则库和审计数据本地化存储与处理。

（4）环境适配：支持信创环境，包括但不限于国产CPU、国产操作系统、国产数据库或国产AI算力平台。

5.管理分析与报告能力

（1）任务管理：支持按部门、项目、系统、代码仓库、版本和责任人等维度管理审计任务，支持任务队列、优先级管理、资源分配和执行状态可视化。

（2）结果分析：支持对漏洞数量、风险等级、漏洞类型、系统分布、重复问题、整改趋势及高频编码缺陷进行统计分析，支持按项目或时间维度形成对比视图。

（3）报告输出：支持生成适用于开发人员和安全人员的多视角审计报告，报告内容应至少包括问题概览、重点高危问题、证据链、修复建议、整改优先级及整体安全结论。

6.性能与稳定性

（1）运行稳定：在大规模代码扫描、并发审计等场景下，应保证系统稳定运行，可靠性至少达到99.9%，具备任务隔离、失败重试、资源配额控制和异常恢复能力。

（2）效率要求：工具针对常规业务代码进行全量、增量审计时，每百万行代码扫描耗时应不高于10小时，在多项目、多分支代码并发审计，多任务并行场景下，扫描效率仍需满足上述要求，不出现任务卡顿、排队超时问题。

二、服务需求

1.根据行内实际情况，协助行内人员制定系统整体实施方案，包括但不限于部署方案、系统使用规范、工作流衔接、与其它系统联动等内容。

2.应提供为期三年的维保服务。维保服务包括但不限于：系统升级与优化、防护策略升级、漏洞修复、故障应急处置、定期巡检等。厂商产品线如有大版本升级或增加相关功能，服务供应商须免费为我行产品提供升级，并做好有关定制开发功能的对接。

3.每季度派遣原厂专家至总行进行一次系统现场巡检。巡检内容包括但不限于系统运行情况、防护策略升级与优化、系统有效性验证等。

4.提供7×24小时应急技术支持，系统出现故障时，需在3小时内响应，并在12小时内提供解决方案，事后出具原厂故障分析报告。

5.提供包括但不限于产品说明书、功能说明书、操作手册、运行维护手册、参数维护手册等与系统安装配置和运行维护相关的全套技术资料文档，并提供产品调整、修改、安装补丁、矫正、产品维护、培训等服务，保证我行技术人员可完成平台管理、安装、运维等工作。

6.供应商须制定完善的应急预案，对不同级别的突发事故要提供可靠的应对方案，以确保采购人业务的连续性和完整性。

7.服务期间内需报告其产品或服务发现的安全缺陷和漏洞。当发生影响我行系统运行、网络安全、数据安全、业务开展等工作的生产事件时，应第一时间通知我行，事后及时向我行提供事件分析报告或说明。

8.服务提供商需对我行互联网资产数据进行严格保密，禁止公开、提供给第三方或违规使用。