CMA软件测评报告测试项目由国家标准 GB/T 25000.51-2016 《系统和软件工程 系统和软件质量要求和评价（SQuaRE） 第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》 严格规定。标准定义了软件质量的八大特性和相应的测试细则，是CMA资质实验室出具报告时必须遵守的权威规定。

CMA报告中的测试围绕这八大特性及两项补充检查展开的，专业和系统超过市面上的普通测试。

一、八大质量测试：

功能性

这是最基础的测试，目的是证实软件是不是完全、准确地实现了需求规格说明书中规定的各项功能。测试不仅包括正常流程，更重视边界、异常和交互。

具体包括：

适合和功能完整：软件功能是不是和用户目标、任务相一致，功能集是不是完整。

功能正确和准确：在设定条件下，软件能否提供具有所需精度的正确结果。

操作性：和指定系统或外部组件进行数据交互和功能集成的能力。

安全性功能符合：访问控制、数据加密、权限管理等安全功能是不是按设计有效执行。

功能依从：软件功能是不是符合相关的国家标准、行业标准或法规要求。

性能效率

考虑软件在规定条件下，使用资源（如CPU、内存、网络）提供适当性能的能力。这对于高并发、大数据量处理的系统非常重要。

测试包括：

时间特性：测试在典型或压力负载下的响应时间、事务处理速度。

资源利用性：监测软件在执行其功能时，系统资源（CPU、内存、磁盘I/O、网络带宽）的占用情况，发现潜在问题。

容量：确定系统能同时处理的最大用户数、并发事务数或数据量，即系统的最大负载能力。

兼容性

软件在不同环境下的适应能力，保证能在用户指定的多种配置下正常工作。

测试包括：

软件/硬件兼容性：和不同操作系统、浏览器、数据库、中间件、硬件设备（如不同品牌的打印机、扫描仪）的兼容性测试。

数据兼容性：证实不同版本软件间的数据导入导出功能是不是正常。

共存性：和在同一环境中运行的其他独立软件共享公共资源时，不产生负面冲突。

易用性

考虑软件是不是易于理解、学习和操作，重视用户的使用体验。

测试包含：

可辨识、易学和易操作：用户界面是不是直观、清晰？用户是不是容易学习怎样完成特定任务？软件是不是提供有效引导以减少操作错误？

用户操作容错

用户界面舒适性和易访问性：界面设计是不是美观、人性化，并为有特殊需求的用户（如视觉障碍）提供辅助功能。

可靠性

考虑软件在指定条件下和规定时间内，维持规定性能水平的能力。这是测量软件长期稳定运行的重点标准。

成熟性：一般通过长时间（如72小时）的稳定性测试，证实系统在正常负载下运行的故障频率。

容错性：在出现硬件故障、网络中断、输入异常等情况下，软件是不是能维持正常运行或安全失效。

易恢复性：系统发生故障后，能否在设定时间内恢复数据并重新正常运行，以及恢复的完整性怎样。

信息安全性

这是当前测试的重点，保护信息的保密性、完整性和可用性，防止未授权访问、篡改或破坏。测试深度超过功能性的安全检查。

安全功能测试：对身份鉴别、访问控制、安全审计、数据加密、抗抵赖等安全机制进行有效性证实。

漏洞扫描和渗透测试：主动扫描并尝试利用常见的安全漏洞，如SQL注入、跨站脚本、信息泄露、不安全的配置等，以模拟真实攻击。

代码安全审计：对源代码进行静态分析，发现不安全编码实践和潜在的安全缺陷。

维护性

测量对软件进行修改、修复或改进的难易程度，主要重视开发人员而不是用户的体验。

模块化和可重用性：软件是不是由高内聚、低耦合的模块组成，以及这些模块在其他系统中复用的可能性。

易分析性和易修改性：当出现缺陷时，定位根本原因的难易程度；以及确定问题后，实施修改的复杂度和风险。

易测试性：软件是不是支持（如通过提供测试接口或工具）对修改后的组件进行有效证实。

可移植性

考虑软件从一种环境迁移到另一种环境（硬件、软件、运行环境）的能力。

适应性：软件无需额外修改，即能适应不同规定环境（如不同操作系统或数据库）的能力。

易安装性和易替换性：安装/卸载过程是不是清晰、便捷；能否在同一环境中替代另一个同类软件。

二、补充测试

除了上述八大特性，CMA报告一般还包括两项检查：

用户文档集测试：对用户手册、在线帮助等文档的完整性、正确性、一致性、易理解性和可用性进行审查，保证文档和软件实际功能一致。

产品说明测试：检查产品宣传材料、包装或说明书中的技术标准描述是不是准确、无歧义。

CMA资质实验室会根据软件类型和合同要求，综合运用黑盒测试（从用户角度测试功能、性能、易用性等）和白盒测试（根据代码本身测试结构、思路和安全性）等多种方法。

CMA报告会详细列出各项特性的测试评价，会给出一个总体评价，判断软件产品符合设定的国家标准（如GB/T 25000.51）、行业标准或项目合同要求。