软件测试报告真伪辨识 4 大要素 + 公开查验入口汇总（2025 升级版）

2024 年市场监管总局通报过 12 起伪造检验检测报告案件——其中 4 起涉及软件领域。假报告流通在招投标、政府采购、高校立项、奖项申报多个场景，直接受害方往往是采购方或资助方。本文给出一份「快速识别 + 深度查验」指南。

辨识维度 1：封面信息核验

必查 5 项

1. 三章齐全——CMA + CNAS + 实验室公章。仅有一章或无章的报告直接淘汰
2. 报告编号——格式规范、可追溯（机构代码 + 年份 + 流水号）
3. 测试日期 + 出具日期——逻辑合理（测试日期 ≤ 出具日期、出具日期 ≤ 当前日期、测试日期不能在节假日批量出现）
4. 被测软件版本——明确版本号、构建号、源代码 hash 或 MD5
5. 二维码 + 电话核验——正规报告必有

3 类伪封面特征

• 三章模糊不清——可能是 PS 痕迹
• 编号不规范——如 「001」「TEST-A」 之类，无法追溯
• 测试日期与报告日期间隔异常——比如测试 1 天就出报告（实际不可能这么快）

辨识维度 2：机构资质核验

官方查验入口

1. CMA 资质——国家认证认可监督管理委员会 cnca.gov.cn → 「服务大厅」→「资质认定 (CMA) 信息」
2. CNAS 资质——中国合格评定国家认可委员会 cnas.org.cn → 「认可服务」→「实验室认可」→「获认可机构查询」
3. ILAC 互认——ILAC 官网 ilac.org → 「Member List」
4. 司法鉴定资质——司法部「中国法律服务网」→「全国司法鉴定人和司法鉴定机构信息查询」
5. 等保测评机构——公安部信息安全等级保护测评中心 djbh.net 公开名录

核验 5 项

• 机构名称完全一致（注意子公司、关联公司、品牌名都不行）
• 资质证书编号匹配
• 资质有效期（6 年 / 监督审查情况）
• 检测能力授权范围覆盖本次检测项目——这是最常被忽略的关键点
• 实验室地址与机构办公地址对应

辨识维度 3：报告内容核验

必查 6 项

1. 测试依据完整——明确列出 GB/T 25000.51-2016 或对应国标 + 需求规格说明书 + 合同附件
2. 测试方法详细——黑盒 / 白盒 / 灰盒 + 用例设计技术 + 自动化 / 手工占比
3. 测试工具列出——具体工具名 + 版本号
4. 测试环境完整——硬件配置 + 网络拓扑 + 软件环境
5. 用例数据清晰——总用例数、通过用例数、通过率、缺陷分布
6. 结论明确——通过 / 有条件通过 / 不通过（无模糊措辞）

4 类内容造假特征

• 测试方法描述笼统——只写「采用第三方测试方法」，无具体技术细节
• 用例数据缺失——只有结论「通过」，无具体用例数 / 缺陷数
• 测试日期与软件版本时间逻辑矛盾——比如测试日期早于软件发布日期
• 结论与缺陷数不匹配——结论说「通过」，缺陷清单却列出 50 个高危漏洞

辨识维度 4：流程合规核验

追问机构 5 个问题

核验报告时可以直接联系机构，提出以下问题。正规机构会乐意回答：

1. 「能提供测试执行的原始日志吗？」——正规机构会保留日志 6 年
2. 「能提供测试执行人员的资质证明吗？」——比如 ISTQB / CISP 等
3. 「我们能派代表到你们实验室旁观测试吗？」——正规机构允许
4. 「测试方案能事先发我们书面确认吗？」——正规机构必定做这一步
5. 「报告的复印件如何加盖确认章？」——正规机构有标准流程

这 5 个问题任一被推脱或拒绝，需要警惕。

11 个官方查验入口汇总

采购方实务清单

1. 合同条款——明确「出具虚假测评报告视为根本违约 + 三倍赔偿」
2. 下单前查机构——cnca / cnas 官网核验
3. 报告交付时四维核验——封面 / 机构 / 内容 / 流程
4. 关键项目派代表参加测试——重要项目可派代表到测评机构实验室旁观
5. 核验记录归档——核验截图、电话录音、邮件记录留存 10 年

新亿诚的核验透明度

新亿诚作为 CMA + CNAS + ilac-MRA 三资质的第三方软件测评机构，承诺：

1. 资质证书在官网公开，提供 cnca / cnas 官网核验链接
2. 每份报告附二维码 + 电话双通道核验
3. 客户可派代表到实验室现场旁观测试
4. 测试方案 / 用例库 / 工具清单作为附件提供
5. 6 年留档，随时可调取原始记录

对在选型阶段的采购方，联系顾问可索取完整资质材料 + 历史报告脱敏样本。