常见问题的实用指南，包括了资质、流程、标准选用、费用和常见问题。

一、资质和报告效力

Q1: CMA和CNAS到底有什么区别？报告上盖什么章才有效？

CMA（检验检测机构资质认定）：国内强制性资质。报告如果用于产品质量监督抽查、司法鉴定、行政执法、房屋验收等法律规定的场合，必须带CMA章。

CNAS（中国合格评定国家认可委员会认可）：国际互认，非强制。报告如果用于海外客户验收、出口认证或单纯的企业内部质量管控，CNAS章更通用。

建议：绝大多数国内正式场合（尤其政府项目、法院起诉）要求双C资质，选择机构时优先选CMA、CNAS均有的。

Q2: 怎样检查一家机构的资质真伪和能力？

CMA机构：访问“国家认证认可监督管理委员会”官网，查询该机构CMA证书附件。重点看你要测的标准（如GB/T 25000.51、GB/T 35273）是不是在其能力范围内，不在范围内等于超范围盖章，报告无效。

CNAS机构：在中国合格评定国家认可委员会官网查询，结构和质量监督检验中心类似，同样看附件的能力范围。

二、标准和测试范围

Q3: 我的App很新，没有完全对应的国标，该怎么测？

可以根据行业标准、地方标准或在平台公开备案的企业标准来测。前提：

企业标准的技术要求不得低于强制性国标。

企业标准必须在企业标准信息公共服务平台上完成自我声明公开。

机构出具报告时会注明根据的是备案企标，法律效力等同采用，但适用于无国标可依或需高于国标的情形。

Q4: 是不是可以只测功能，不测性能和安全？

从合规角度：如果标准（如GB/T 25000.51）中信息安全性和性能效率被列为合同约定的必测质量特性，就不可以省略。即使机构只测功能，报告会确定说明未包括部分，由委托方自担风险。

从实际需要：隐私合规（个人信息保护）已是监管红线，即使你只想做功能验收，也强烈建议至少完成根据GB/T 35273和GB/T 41391的最小必要合规检查，否则App很可能因违规收集信息被通报下架。

Q5: 隐私合规测试是强制项吗？

对面向公众、收集个人信息的App，第三方测评一般会检查：是不是有隐私政策弹窗、是不是默认勾选同意、是不是超范围申请权限、是不是提供账号注销功能、是不是在静默/后台时仍频繁获取位置等。这些项一旦不合规，属于一票否决。

三、流程、文档

Q6: 完整的测试流程要多长？需要我提供什么？

周期：一般中小型App的功能+性能+安全基础项测试，从委托到出具正式报告约5-15个工作日，视复杂度和修复回归次数而定。

必需材料：

可安装的软件包（含测试环境配置说明）。

需求文档/用户手册（如果无，只能进行根据通用规则的探索性测试，可能遗漏很多隐含需求）。

测试账号（含不同权限角色，如管理员、普通用户、未登录）。

确定的技术要求（性能标准如启动时间≤2秒，CPU≤30%等，如果不提供，机构按行业经验决定）。

第三方SDK清单（隐私合规测试必需要，用来查验各SDK的行为和收集规则）。

Q7: 需要提供源代码吗？

一般不需要。绝大多数第三方测评是黑盒测试，根据外部接口和运行行为，不审查源代码。

只有某些特定的安全代码审计或高等级的安全认证（如EAL4+）才需提供部分代码。

Q8: 发现缺陷修复后回归，会额外收费吗？

一般会在合同中约定一次免费回归。多次反复、新增需求、或修复后引发大面积崩溃的回归测试，会按人天或比例追加费用。签订合同时必须确定。

四、费用和避坑

Q9: 费用怎样估算？为什么报价差几倍？

计价方式：功能点、按页面数、按人天或整体打包。合规类（隐私）常按App个数一口价。

价差来源：一是测项的深度和包括面（仅功能vs.功能+性能+安全+兼容），二是机构资质等级和报告用途。一份上法庭用的双C司法鉴定报告，在采样、取证、复现、分析上的严苛性超过内部摸底报告，成本自然高。

避坑：过低报价往往意味着只做简单安装运行，或根本不实测，仅出具假报告。必须索要测项清单。