第一步：检查资质真伪和状态

不能只看证书扫描件，必须自己动手查。

官方查询平台：国家认证认可监督管理委员会官网（认监委），或全国认证认可信息公共服务平台。

核对：

证书状态：是不是为有效。一旦暂停或撤销，它出的报告就是无效废纸。

证书有效期：保证测试和出报告日期在有效期内。

地址一致性：实际测试场所地址是不是在证书列出的地址范围内。异地实验室如果没有分场所资质认证，同样违规。

检测能力范围（附表）：这是最重要的一步。必须下载它的CMA证书附件（能力范围表），查看你要测的标准（如GB/T 25000.51）和对应的检测对象（如“就绪可用软件产品”）是不是被确定列出。不在列表内，就是超范围盖章，报告用于招投标、司法等将无效。

第二步：能力范围和测试需求

App要注意以下标准是不是在CMA资质附表中：

通用质量：GB/T 25000.51-2016 （功能、性能、兼容性等）

隐私合规：GB/T 35273-2020 （个人信息安全规范）、GB/T 41391-2022（App收集个人信息基本要求）。

移动安全：GB/T 34975-2017 （移动智能终端应用软件安全技术规范）

行业强标：金融类App要看 JR/T 0092-2019 （移动支付客户端）等；政务类看 GB/T 39044-2020 等。

如果测项（如AI大模型）无国标，则可和机构协商采用已备案的企业标准。但记住，企标必须已在“企业标准信息公共服务平台”公开。

第三步：考察实际技术实力和行业经验

资质是许可，不等于能力。可以通过这些方式摸底：

看案例和领域：直接问有没有测过同类型的App（金融、医疗、政务）。要求提供脱敏报告样例，重视其分析深度和对行业标准的理解。

问重要设备和团队：App性能测试是不是用真机农场还是纯模拟器？安全测试团队是不是有渗透测试能力？隐私合规检测是纯用自动化工具扫，还是配合人工深度研判？后者更有作用。

考虑流程规范：专业的机构会严格区分测试人员和报告签发人，并有质量监督员全程把控。可以询问测试过程的可追溯性，比如用例、日志、截图等过程数据是不是留存备查。

第四步：审核合同和报告细节

签合同前，仔细沟通这些点：

报告类型和用途：是内部测试报告，还是有法律效力的检验检测报告（带CMA章）？要问清盖章的约束条件和标准根据。

测项清单：必须确定合同附件有一份确定的测项清单，写明要测哪些功能、性能标准、标准条款，避免后期扯皮“这个没说要测”。

回归测试和加测费用：合同中确定第一轮测试后的缺陷修复，提供几次免费回归；新增测项怎样计费。

数据安全和保密条款：App包、源代码、用户数据等怎样移交、存储和销毁。必须签署保密协议，确定测试环境是不是和外网物理隔离。

避坑自查

查不到附表：任何不愿提供或在线查不到能力附表的机构，直接否决。

标准只写编号：如果对方只说能做GB/T 25000.51，但附表中无此编号，其资质可能在其他领域的软件上，不一定包括你的App，必须核对到具体标准号。

隔天出报告：除极简单的自动化快测外，一份严谨的功能+安全+隐私报告，测试和分析至少需5个工作日以上。

报价极低：过低报价往往意味着只跑简单录屏或全自动化工具扫一遍，人工分析和问题复现投入为零，报告质量堪忧。