软件评估检测报告办理_CMA检测机构_权威检测中心

一、软件检测内容

软件评估检测依据GB/T 25000.51-2016《系统与软件工程 系统与软件质量要求和评价（SQuaRE） 第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》及GB/T 25000.10-2016相关标准，全面覆盖以下质量特性及子特性：

功能性：完整性、正确性、适合性、准确性、互操作性、功能依从性

性能效率：时间特性、资源利用率、容量、性能效率依从性

兼容性：共存性、互操作性、兼容性依从性

易用性：可辨识性、易学性、易操作性、用户差错防御性、用户界面舒适性、易访问性、易用性依从性

可靠性：成熟性、可用性、容错性、易恢复性、可靠性依从性

安全性：机密性、完整性、不可否认性、可核查性、真实性、抗抵赖性、安全性依从性

可维护性：模块化、可重用性、易分析性、易修改性、易测试性、可维护性依从性

可移植性：适应性、易安装性、易替换性、可移植性依从性

文档集：用户文档、系统文档、测试文档完整性及规范性

源代码安全：代码审计、漏洞扫描、常见弱点枚举（CWE）覆盖

二、软件检测目的

软件评估检测旨在为委托方提供客观、公正、权威的质量证明，具体目的包括：

验证软件产品是否满足合同、技术规范及用户需求中声明的功能和非功能要求

识别软件潜在缺陷、性能瓶颈及安全漏洞，降低上线后运行风险

评估软件在目标环境中的兼容性、稳定性和资源占用水平

确认软件符合国家、行业及国际标准（如GB/T、ISO/IEC 25000系列）

为软件产品登记、政府采购、招投标、项目验收提供第三方检测依据

支撑软件著作权登记、高企认定、双软评估、首版次软件申报等资质申请

为软件企业提供改进产品质量的技术参考和量化数据

满足金融、电力、医疗、政务等关键领域对软件安全性与合规性的强制要求

出具具备CMA标识的检测报告，作为法律效力的技术证据文件

三、软件检测流程

软件评估检测办理遵循标准化工作程序，各环节不可缺失：

委托咨询：委托方通过“聚检通”全国服务热线或线上平台提出检测需求，明确软件类型、应用场景、交付周期

资料提交：委托方提供被测软件的可执行程序、用户手册、系统设计文档、需求规格说明书、测试用例（若有）

合同签订：双方确认检测范围、依据标准、费用金额、周期、保密条款及知识产权归属，签署技术服务合同

样品交付：委托方以光盘、U盘、云存储链接或部署环境访问权限交付软件样品及配套数据

方案制定：检测工程师制定详细的测试计划，包含测试环境配置（操作系统、数据库、中间件、硬件资源）、测试工具选型、测试用例设计

环境搭建：在聚检通CMA认可实验室内搭建隔离测试环境，记录环境配置参数

执行检测：按测试方案依次开展功能性、性能效率、安全性等各项测试，记录原始数据及异常现象

缺陷确认：对发现的问题进行回归验证，与委托方沟通确认缺陷真实性及复现条件

结果分析：对测试数据进行统计分析，计算功能点通过率、平均响应时间、并发用户数上限、资源占用率、漏洞风险等级等指标

报告编制：依据模板撰写检测报告，包含项目概述、测试环境、测试结果、结论建议及CMA标识页

内部审核：报告经质量负责人、技术负责人两级审核，确保数据准确、结论严谨

报告签发：加盖CMA印章及检测专用章，生成防伪二维码及电子版报告

报告交付：向委托方交付纸质版报告一式三份及PDF电子版，支持快递或线上加密传送

异议处理：委托方对报告有异议时，可在15个工作日内提出申诉，检测机构安排复核

四、软件检测方法

检测方法依据国家标准及行业规范，具体采用以下技术手段：

黑盒测试：基于需求规格设计等价类划分、边界值分析、判定表、因果图、场景法测试用例，验证功能正确性

白盒测试：对关键代码模块执行语句覆盖、分支覆盖、路径覆盖、条件组合覆盖分析，定位逻辑缺陷

灰盒测试：结合数据库结构、API接口参数进行集成测试，验证数据流转一致性

性能测试：使用LoadRunner、JMeter工具模拟单用户到千级并发负载，测量响应时间（90%响应时间≤3s）、吞吐量（TPS≥100）、CPU/内存占用率（≤75%）

压力测试：逐步增加负载至系统崩溃，确定最大并发用户数及系统失效拐点

稳定性测试：在72小时持续运行中监测内存泄漏、连接池耗尽、日志异常堆栈

安全测试：采用AppScan、Nessus进行Web漏洞扫描（覆盖SQL注入、XSS、CSRF、文件上传漏洞），使用Fortify进行源代码静态分析，按CVSS v3.0评定漏洞风险等级（高危漏洞数量应为0）

兼容性测试：在不同操作系统（Windows 10/11、Linux CentOS 7/8、macOS）、浏览器（Chrome、Firefox、Edge）、数据库（MySQL 5.7/8.0、Oracle 19c）及分辨率（1920×1080、1366×768）下验证功能运行

易用性测试：邀请5名以上典型用户完成核心操作任务，记录任务完成时间、操作错误次数及系统可用性问卷（SUS）评分

文档评审：依据GB/T 8567-2006检查用户手册的完整性（包含安装指南、操作说明、故障处理）和术语一致性

代码审计：对Java/C++/Python等语言代码检测未初始化变量、资源未释放、空指针引用、并发竞争条件

回归测试：缺陷修复后重新执行受影响模块及相关联模块的全部测试用例，确认无新增错误

五、软件检测费用

软件评估检测费用根据委托方需求和项目复杂度综合核算，各项费用明细如下：

基础功能性检测费：2000元/千功能点（不足千点按千点计），涵盖功能完整性、正确性、适合性测试

性能效率检测费：3000元/场景，每个场景包含并发用户梯度（50/100/200）、负载时长（30分钟）

兼容性检测费：800元/操作系统组合，1500元/浏览器组合，1000元/数据库组合

安全性检测费：5000元/应用系统（含漏洞扫描+代码审计+渗透测试基础项），高危漏洞复核不另收费

易用性检测费：2500元（包含用户招募、任务记录、SUS评分）

可靠性检测费：3500元（涵盖24小时稳定性测试+容错性验证+恢复性测试）

可维护性检测费：2000元（代码规范性检查+模块化评估）

可移植性检测费：1800元（安装/卸载测试+环境迁移验证）

文档评审费：1500元/套（用户手册+系统文档+测试文档全套）

源代码审计费：12000元/百万行代码（不足百万行按比例折算，含CWE检查清单）

检测报告编制费：免费（含CMA标识及防伪码）

加急服务费：标准周期15个工作日，加急至7个工作日加收总费用30%，加急至3个工作日加收60%

现场测试费：若需工程师赴委托方现场部署环境，按2000元/人/天收取差旅及服务费

复测费：首次检测不通过，委托方整改后申请复测，按原项目费用的50%收取

样品保管费：免费（检测完成后保留样品30天，超期按200元/月收取）