甲方采购拿到供应商提交的「软件第三方测试报告」,第一动作是查 6 件事。这 6 项决定了报告能否进入下一轮评审、能否成为合同尾款依据、能否归档备查。本文以采购方工作流为序,逐一拆解。
查验维度 1:报告编号唯一可追溯
正规第三方报告的封面必有唯一编号(通常格式:机构代码 + 年份 + 流水号),形如「XYC-2024-001234」。
查验方法:
- 扫描报告封面或封底二维码,跳转出具机构官网核验入口,输入编号查询基本信息(出具日期、产品名、检测范围、有效结论)
- 无二维码的,电话联系机构客服核验。机构有义务配合查验
- 如果机构以「保密」为由拒绝核验,这本身就是重大警示信号
查验维度 2:出具机构具备 CMA + CNAS 双资质
检测报告对外效力的法定前提是 CMA(中国计量认证)资质。CNAS 是更高一级的实验室能力认可,与 ilac-MRA 国际互认协议覆盖 100+ 国家与地区。
查验入口:
- CMA — 国家认证认可监督管理委员会官网 cnca.gov.cn
- CNAS — 中国合格评定国家认可委员会官网 cnas.org.cn
- 核验时重点看:机构名称、证书编号、有效期、授权检测范围是否覆盖你这次采购的项目类型
查验维度 3:测试样本明确锁定
报告中必须明确测试样本是什么——版本号、构建号、测试日期、源代码 hash 或交付包 MD5。
常见踩坑:
- 报告测试样本是 v1.0,但供应商交付的版本是 v1.2 —— 这份报告对你拿到的版本无效
- 测试样本仅写「2024 年 3 月版」—— 时间太模糊,无法锁定具体版本
- 测试样本与供应商交付的源代码 hash 不一致 —— 说明测试的不是同一份代码
查验维度 4:测试用例数 / 通过率 / 缺陷分布清晰
合格报告应在结论部分给出客观数据:
- 总用例数(按维度 / 模块拆分)
- 通过用例数 / 通过率
- 缺陷数量(按严重程度分级:致命 / 严重 / 一般 / 提示)
- 缺陷是否已修复(修复 / 未修复 / 接受)
- 遗留缺陷的影响评估
如果报告只有结论「通过」而没有上述数据,这只是营销文档不是测试报告。
查验维度 5:测试方法、工具、环境完整披露
报告必须披露:
- 测试方法—— 黑盒 / 白盒 / 灰盒,等价类划分 / 边界值 / 决策表 / 探索式 等
- 测试工具—— JMeter / LoadRunner / Burp Suite / Nessus / SonarQube 等具体工具与版本
- 测试环境—— 服务器配置、网络拓扑、客户端机型、操作系统版本、数据库版本
- 测试数据—— 用例数据规模、数据来源、是否脱敏
不披露测试方法的报告,意味着结论无法复现、无法在专家评审会现场答辩。
查验维度 6:结论明确且无模糊措辞
测试结论必须从以下 3 项中明确给出 1 项:
- 通过——所有测试维度均达到 GB/T 25000.51-2016 国标要求
- 有条件通过——核心维度通过,少量缺陷待整改
- 不通过——核心维度未达标,需重大整改后复测
需要警惕的模糊措辞:
- 「基本通过」——什么是「基本」?哪些没通过?
- 「主要符合要求」——主要部分是哪些?
- 「达到预期」——预期是什么?谁定的?
正规第三方报告不会出现上述模糊措辞——它们的潜台词通常是「测试发现重大问题但供应商不愿意整改」,这种报告无法支撑甲方做出验收决策。
采购方实务建议
- 下单前先报机构——招标文件中明确要求「投标方需提供具备 CMA + CNAS 双资质的第三方测评报告,出具机构需在公开名录可查」
- 报告交付时 6 项逐查——验收会议前完成核验
- 关键项目派代表参加测试——重要项目可派代表到测评机构实验室旁观测试过程
- 报告与项目档案一同归档——10 年内可能被审计抽查,保留完整档案与电话核验记录
新亿诚的甲方友好实践
新亿诚作为 CMA + CNAS + ilac-MRA 三资质的第三方软件测试报告提供方,针对甲方采购客户提供:
- 报告交付时同步提供资质核验材料(资质证书复印件 + 官网核验链接)
- 测试方法 / 用例库 / 工具清单可作为附件提供
- 支持采购方代表到实验室现场旁观测试
- 报告 6 年档案保留,随时可调取
如果你正在准备一个软件采购项目,欢迎联系顾问提前对接测试方案。
