2025 软件测评行业年度回顾（10 大事件 + 5 大变化 + 2026 展望）

2025 年是软件测评行业最有结构性变化的一年。政策密集落地、监管多部门联动、AI 与大模型从试点走向业务嵌入、信创替代进入中段、数据要素流通真实发生。回顾这一年，10 件大事划出了行业的新边界，5 项变化重塑了测评机构与被测方的协作方式，4 条展望则指向 2026 的关键命题。本文以”事件—变化—展望—建议”四段式回顾全年，所有判断基于公开政策与一线项目观察，不涉及具体客户与商业机密。

一、2025 年 10 大事件

1. 《人工智能生成内容标识办法》2025 年 9 月 1 日生效

由网信办、工信部等四部门联合发布，要求生成式 AI 服务对生成内容添加显式标识与隐式标识。对测评行业的意义：AIGC 标识合规成为一类新的独立测评内容，覆盖标识完整性、可识别性、可追溯性、抗去除能力。

2. 《智慧医疗分级评价方法及标准（2025 版）》替代电子病历 2018 版

智慧医疗评价体系从单一电子病历应用功能水平扩展为智慧服务、智慧管理、智慧医疗三位一体的综合评价。对医疗信息系统供应商而言，测评范围、评价维度与文档要求全面更新；对医院而言，分级评级标准与申报方式同步调整。

3. 央国企信创替代进入 2025 中段

多个行业的信创替代进入”性能稳定兼容三达标”阶段，2027 年全面替代目标可见。测评机构被要求出具”x86 基线 + 国产化对照”的双跑数据，而非简单的功能可用性结论。

4. DeepSeek / Qwen 等国产开源大模型企业落地浪潮

2025 年国产开源大模型在政企场景规模化落地，催生大量私有化部署、RAG（检索增强）、Agent 应用项目。对测评行业的意义：大模型应用测评成为独立细分赛道，幻觉率、合规率、红队测试形成新方法论。

5. 数据要素 X 行动加速

”数据要素 ד三年行动计划（2024-2026）走到中段，数据可信流通、数据资产入表、数据沙箱、隐私计算等新型测评类目快速形成。测评机构需要具备数据治理、数据资产估值参考依据、隐私计算协议正确性验证等综合能力。

6. SBOM 软件物料清单合规要求扩大

多个行业和地区将 SBOM 纳入采购入围与持续运维要求，开源组件清单、版本、许可证、已知漏洞需要可持续维护。对测评行业的意义：SCA（软件成分分析）与 SBOM 生成、审计成为常规测评项。

7. API 安全测评标准化

OWASP API Security Top 10 框架与国密接口规范在政府与金融领域形成融合落地，API 资产发现、鉴权、加密、速率限制、批量赋值、对象级授权检查成为测评标配。

8. 个保法执法力度持续加大

2025 年多起跨境数据违规、超范围采集个人信息的处罚案例公开，个人信息保护影响评估（PIA）作为测评类目的需求持续上升。涉个人信息的 App、小程序、SaaS 系统在上线前的合规测评成为强需求。

9. 等保 2.0 测评机构资质动态调整

等级保护测评机构资质管理在 2025 年继续动态调整，机构能力、人员配置、过程合规等被持续督查，确保测评质量与一致性。等保 GB/T 22239-2019、GB/T 28448-2019 等核心标准仍是底盘。

10. 商用密码合规检查常态化

SM2 / SM3 / SM4 等国产密码算法在金融、政务、能源、医疗等关键领域的应用从”鼓励”走向”刚性要求”。商用密码应用安全性评估（密评）成为系统上线前的强制环节，涉及密码使用合规性、密钥管理、随机数质量、加密算法实现等。

二、与 2024 相比的 5 大变化

变化 1：大模型测评从可选→必选

2024 年的大模型测评还多以”探索性评估”形式出现，2025 年随着政策落地与业务嵌入，测评从可选项变为上线前必选项，包含合规、安全、幻觉、性能、成本五个核心维度。

变化 2：信创测评从合规过场→真实性能验证

2024 年的信创测评以”清单交付、能跑即可”为主，2025 年客户开始关心 SQL 重写后的执行计划、连接池行为、JDK 版本适配、字符集统一、备份恢复时间，要求”基线对照 + 改造闭环”。

变化 3：数据安全测评从单点→全生命周期

2024 年的数据安全测评多以单点检查（如数据库加密、传输加密）出现，2025 年扩展到采集—传输—存储—使用—共享—销毁全生命周期，并纳入数据可信流通与数据资产入表场景。

变化 4：AIGC 标识测评成为新合规品类

从政策发布到 9 月 1 日生效，AIGC 标识合规在 2025 年从无到有形成独立的测评品类，涉及标识完整性、隐式水印鲁棒性、深度合成可识别性等专项能力。

变化 5：测评机构资质要求从单一 CMA/CNAS → 多重资质组合

客户在 2025 年的招标文件中越来越多地要求”CMA + CNAS + 等保 + 信创 + 商用密码”等多重资质组合，单一资质的机构在复杂项目中竞争力下降，行业洗牌加速。

三、2026 年 4 条展望

1. AI Agent 测评方法论形成：从”测一个模型”扩展到”测一个由多 Agent 协作完成业务的系统”，覆盖 Agent 间通信、工具调用安全、长程任务可恢复性、责任界定。
2. 数据资产入表测评成熟：会计、审计、数据交易、合规四方对数据资产入表的认定流程趋于稳定，测评机构在其中承担”质量与权属可验证证据”的角色。
3. 隐私计算测评标准化：联邦学习、TEE、MPC 三类隐私计算技术的测评标准从厂商自定义走向行业一致，纳入金融、医疗、政务的常规采购规范。
4. 测评机构两极分化加速：具备方法论沉淀、行业垂直能力、AI 工具链与跨场景经验的机构承接复杂项目；缺乏长期客户与人才储备的机构进一步出清。

四、新亿诚 2025 业务侧观察

从一线项目交付视角，新亿诚 2025 年的业务结构呈现以下特征（不涉及具体客户与商业数字）：

• 6 大业务线持续运营：验收测评、确认测评、鉴定测评、招投标测评、APP/小程序测评、专项测评（含安全、性能、兼容、可靠性等）。
• 政企客户覆盖多类行业：全年为政府机关、央国企、医疗、教育、金融、能源等多类客户提供第三方测评服务。
• 新业务落地：在传统业务基础上，新增了大模型应用专项测评、AIGC 标识合规测评、信创替代基线对照测评、API 安全与 SBOM 治理测评等新业务方向。
• 方法论沉淀：参考 GB/T 25000.51-2016、GB/T 22239-2019、GB/T 28448-2019、《智慧医疗分级评价方法及标准（2025 版）》等国家与行业标准，结合 OWASP、ISO/IEC 等国际框架，形成可复用的用例库与测评模板。

五、给软件企业与采购方的决策建议

给软件企业的 3 条建议

1. 把可测性与可合规性纳入产品设计阶段：日志、埋点、链路追踪、SBOM 生成、API 文档、密码算法接入、AIGC 标识嵌入，应在研发阶段就考虑，不要等测评前临时补齐。
2. 建立内部基线与对照机制：性能、安全、兼容、信创替代都需要”先有基线，再谈优化”。每个版本发布都进行一次基线回归，远比上线后救火便宜。
3. 对齐监管节奏，主动跟进政策：关注网信办、工信部、市场监管总局、国家密码管理局、金融监管总局等多部门的政策节奏，将合规需求前置纳入产品路线图。

给采购方的 3 条建议

1. 把测评前置到选型与设计阶段：复杂项目（信创、大模型、数据要素）的测评介入越早，返工成本越低。把测评机构纳入方案评审，比上线前救火更经济。
2. 看资质组合与方法论沉淀：选择测评机构时关注多重资质组合、行业垂直经验、用例库与方法论沉淀，而不是单纯的牌照与报价。
3. 要求复测闭环与可验证证据：报告不是终点。在合同中约定首测 + 整改 + 复测的完整闭环，要求改进点的可验证证据，并把测评结论与运维监控指标对齐。

结语

2025 年的关键词是”从合规到能力”：合规依然是底线，但客户越来越关心测评机构能否帮助其在 AI、大模型、信创、数据要素等新场景下真正交付高质量、可持续的软件。新亿诚作为深圳本地的第三方软件测评机构，将在 2026 年继续围绕 AI Agent、隐私计算、数据资产入表、AIGC 标识等新方向迭代方法论，与客户共同迎接下一轮结构性变化。如果你正在规划 2026 年的软件质量与合规预算，欢迎联系我们沟通具体场景，一起把测评做成”可持续的质量基础设施”，而不是一次性的合规过场。

具体的软件测试报告用途与报价咨询可直接联系顾问，1 小时内回电沟通。新亿诚作为持有 CMA + CNAS + ilac-MRA 国际互认协议的第三方软件测评机构，可为您提供本文场景下的检测服务。