第三方软件检测是指通过具备CMA、CNAS资质的第三方独立公司,针对软件产品进行功能性、性能效率、兼容性、可靠性、易用性、信息安全性、维护性、可移植性、设备查验、用户文档查验、源代码审计等检测,并严格按照国家国际标准出具第三方软件检测报告,软件测试的目的是保证软件产品或应用程序能够按照预期的要求和标准正常工作,并且没有严重的缺陷或风险。
什么是CMA?
CMA(中国计量认证,China Inspection Body and Laboratory Mandatory Approval):根据《中华人民共和国计量法》的规定,由省级以上人民政府计量行政部门对检测机构的检测能力及可靠性进行的一种全面的认证及评价。
这种认证的对象:是所有对社会出具公证数据的产品质量监督检验机构及其它各类实验室,如各种产品质量监督检验站、环境检测站、疾病预防控制中心等。
第三方软件测试服务内容
第三方软件检测,依据《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》GB/T25000.51-2016以及系统建设合同开展检测工作。检测内容主要有以下几项:
1)功能性检测:通过动态黑盒测试的方法,对系统进行全面的检测,验证系统功能是否达到预设指标要求,评估系统是否满足设计开发需求。主要包括功能适合性、功能完备性、功能正确性、功能依从性。
2)性能效率检测:使用性能检测工具loadrunner,模拟真实用户操作采用逐步加压和同时并发的方法对系统施加压力,根据检测结果进行综合分析,验证系统性能是否达到预设指标要求,评估系统运行稳定性。主要包括时间特性、资源利用性、容量、依从性。
3)兼容性检测:指测试软件在特定的硬件平台上、不同的应用软件之间、不同的操作系统平台上、不同的网络等环境中是否能够很友好的运行的测试。目标是保证软件按照用户期望的方式进行交互。主要包括共存性、互操作性、兼容性的依从性。
4)易用性检测:易用性检测是针对软件是否便于使用、使用是否高效的评估性测试,在软件的安装、操作、交互等各方面进行系统化的一致性测试,向用户提供评估报告。主要包括可辨识性、易学性、易操作性、用户差错防御性、用户界面舒适性、易访问性、依从性。
5)可靠性检测:检查软件是否有差错处置相关的功能;在限制使用范围内使用时,软件是否不丢失数据;软件是否识别违反句法条件的输入,并且不应作为许可的输入加以处理;检测时是否运行稳定。主要包括成熟性、可用性、容错性、易恢复性、依从性。
6)信息安全性检测:对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。主要包括保密性、完整性、抗抵赖性、可核查性、真实性、依从性。
7)维护性检测:进行质量保证审查,设置检查点进行检查、验收检查、周期性维护检查、对软件包检查,程序文档对提高程序的可理解性有着重要的作用。规范、完整、一致的文档是建立可维护性的基本条件。主要包括模块化、可重用性、易分析性、易修改性、易测试性,依从性。
8)可移植性检测:使用安装向导或遵照安装手册的步骤(包括执行必需的安装脚本),验证是否可以成功地进行软件安装卸载;评估在运行环境中加载其他应用程序所导致的功能上的负面影响(例如:当服务器上运行多个应用程序时的资源分配冲突);明确各种指定的目标环境并完成配置,测试一个应用程序是否能够在所有特定的目标环境(硬件、软件、中间件、操作系统等)中正确地运行。主要包括适应性、易安装性、易替换性、依从性。
9)用户文档检查:采用人工查看的方式,对用户文档的可用性、内容、标识与标示、完备性、正确性、一致性和易理解性等方面进行静态检查;结合功能检测对用户手册从正确性、一致性、易理确性等方面进行检查。
10)设备查验:采用人工方式查验委托方提供的软件产品的型号、规格和许可范围进行查验,并填写检测记录表。对委托方提供的硬件设备的型号、规格和数量进行查验,并对设备进行加电测试,并填写检测记录表。
11)源代码审计:源代码审计工作利用一定的编程规范和标准,针对应用程序源代码,从结构、脆弱性以及缺陷等方面进行审查,以发现当前应用程序中存在的安全缺陷以及代码的规范性缺陷。依据本次第三方检测服务项目的检测范围,为客户提供的所有项目源代码进行整体的安全审计,依据《信息安全技术代码安全审计规范》GB/T39412-2020,发现(源)代码存在的安全漏洞,并对导致安全漏洞的错误代码进行定位和验证,提供修复方案。
为什么要做第三方软件测试?
1)法律法规要求
《国家政务信息化项目建设管理办法》国办发〔2019〕57号第九条:除国家发展改革委审批或者核报国务院审批的外,其他有关部门自行审批新建、改建、扩建,以及通过政府购买服务方式产生的国家政务信息化项目,应当按规定履行审批程序并向国家发展改革委备案。备案文件应当包括项目名称、建设单位、审批部门、绩效目标及绩效指标、投资额度、运行维护经费、经费渠道、信息资源目录、信息共享开放、应用系统、等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容,其中改建、扩建项目还需提交前期项目第三方后评价报告。
2)第三方软件测试是指由既不属于开发方也不属于用户方的第三方机构或团队来进行的软件测试。
- 第三方软件测试可以提供客观、公平和专业的测试结果,避免开发方或用户方的主观偏见或利益冲突。
- 第三方软件测试可以利用专业的测试工具、方法和流程,提高测试效率和质量,节省时间和成本。
- 第三方软件测试可以覆盖更多的测试场景和边界条件,发现更多的潜在缺陷和风险,提高软件的可靠性和安全性。
- 第三方软件测试可以增加用户对软件产品或应用程序的信任和满意度,提升品牌形象和市场竞争力。
第三方软件测试服务效果
1)软件成果鉴定
通过功能性检测、性能效率检测、可靠性检测、易用性检测等检测内容出具鉴定检测报告,可作为省级,国家、部委项目的申报和结题,国家科技成果奖的技术鉴定,软件产品资产入股的技术评估,也可作为向客户推广产品的有力依据
2)软件项目验收
验收检测报告可作为地方、省级、国家、部委项目的验收依据,确认用户开发的软件完成了需求规格说明书中规定的软件功能、性能和安全指标。此报告可用于对开发完成的项目和政府信息化项目的全面验收。也可作为判断软件工程和系统集成项目是否按规定完成的依据。
3)验证系统功能是否达标
客观评估系统的功能指标状况,完成系统功能测试、模块流程测试、模块逻辑功能测试。完成功能流程测试、提交系统缺陷和相应缺陷的修复确认、提出系统功能改进建议、提出系统缺陷修补建议。通过对系统的功能模块和业务流程进行综合检查,验证系统功能是否达到预设指标要求,评估系统是的满足设计开发需求。
4)满足性能要求
通过模拟真实用户操作采用逐步加压和同时并发的方法对软件系统施加压力,根据检测结果进行综合分析,验证系统性能是否达到预设指标要求,评估系统运行稳定性,验证系统的架构是否存在瓶颈并提出系统性能优化建议。
5)全面监测企业安全风险
通过安全扫描,渗透测试,代码审计等出具安全检测报告,协助企业在网站或者APP应用上线之前,对网站、服务器或APP进行全面细致的安全检测,及早发现网站、服务器或APP的潜在漏洞,以免遭受黑客攻击,导致敏感数据泄露。
6)满足信息化项目检测管理办法要求
《国家政务信息化项目建设管理办法》国办发【2019】57号第九条要求除国家发展改革委审批或者核报国务院审批的外,其他有关部门自行审批新建、改建、扩建,以及通过政府购买服务方式产生的国家政务信息化项目,应当按规定履行审批程序并向国家发展改革委备案。其中改建、扩建项目还需提交前期第三方后评估报告。《深圳市政务信息化项目检测与验收管理办法》深政数【2022】136号第九条规定建设单位委托的第三方检测机构应具备 CNAS 或 CMA 资质。
第三方软件测试检测资质
第三方软件测试检测流程
1)检测准备阶段:召开项目启动会,明确双方工作职责和配合内容;填写软件检测调研表;准备检测项目涉及联系人清单;签署检测授权书;提前收集被测项目相关建设文档;检查确认项目相关文档的齐全性和正确性;编制检测方案及检测用例。
2)现场检测阶段:分步实施所有检测项;将现场调阅资料归还并恢复现场;输出检测记录及问题记录。
3)整改反馈阶段:进行检测发现问题整改,如功能缺陷修改,性能优化等);复核整改的情况。
4)分析与编制报告:检测记录及结果汇总;分析检测记录及结果并形成检测结论;编撰完成软件检测报告。
-----------------------------------------------------------------------------------------------------------------------------------
深圳市安证企业合规管理(集团)有限公司是国内专业的一站式综合性网络安全合规解决方案提供商。同时服务于全国软件行业的第三方软件检测机构,具备CNAS和CMA资质认证,可出具专业的第三方软件测试报告,为软件项目验收提供依据,主要内容包括功能性、性能效率,信息安全性、兼容性、易用性、可靠性等多个参数。 点击查看更多介绍