如何建立一个可以出具CNAS软件测试报告的实验室

软件测试实验室获取CNAS资质不仅表明了软件测试实验室具备了按CNAS认可准则开展检测和校准服务的技术能力，也可以增强市场竞争能力、赢得相关部门、社会各界的信任、提高知名度。在不少省市地区还有针对CNAS实验室的补贴政策，软件测试实验室在获取资质后，可以获得相应的资金补贴。本文我们尽量将软件测试实验室计划申请CNAS资质前，需要调研的信息整理出来，帮助大家快速了解软件测试实验室的CNAS资质申请。

一、软件测试方法

可以依据以下标准作为标准测试方法：

1、通用软件的测试依据GBT 25000.51《系统与软件工程系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》给出了8个测试项目。

软件产品功能性检测：功能完备性、功能正确性、功能适合、功能性的依从性

软件产品性能效率检测：时间特性、资源利用性、容量、性能效率的依从性

软件产品兼容性检测：共存性、互操作性、兼容性的依从性

软件产品易用性检测：可辨识性、易学性、易操作性、用户差错防御性、用户界面舒适性、易访问性、易用性的依从性

软件产品可靠性检测：成熟性、可用性、容错性、易恢复性、可掌性的依从性

软件产品信息安全性检测：保密性、完整性、抗抵赖性、可核查性、真实性、信息安全性的依从性

软件产品维护性检测：模块化、可重用性、易分析性、易修改性、易测试性、维护性的依从性

软件产品可移植性检测：适应性、易安装性、易替换性、可移植性的依从性

2、软件代码测试软件代码测试根据代码的编程语言不同，分为：C/C++语言源代码漏洞测试、Java语言源代码漏洞测试、和C#语言源代码漏洞测试。依据的国标分别是：

《C/C++语言源代码漏洞测试规范》GB/T 34943-2017

《Java语言源代码漏洞测试规范》GB/T 34944-2017

《C#语言源代码漏洞测试规范》GB/T 34946-20173）

3、行业软件测试像嵌入式软件一般依据国军标GJB-Z-141-2004《军用软件测试指南》、物联网类软件一般依据欧标ETSI EN 303 645：2020 《消费型物联网产品信息安全标准》。

二、软件测试实验室申请CNAS认可的资源要求

软件测试实验室申请CNAS资质首先需要具备相应的可以支持实验室开展日常检测的资源，主要包括人员要求、设施和环境要求、设备要求这几部分。

（一）人员

软件测试实验室的人员应满足以下要求：

1、从事软件测试人员，应具有计算机及相关专业的大专（含）以上学历、并获得国家或行业承认的软件测试技术专业培训合格资质或计算机软件相关专业的高级工程师，具备与软件测试任务相适应的被测试软件背景知识和软件测试技术。

2、各类人员其他应满足的要求包括：

1）从事软件测试项目管理、测试需求分析、测试策划和测试设计活动的人员，一般应有 2 年（含）以上软件开发工作经历或 3 年以上软件测试技术工作经历；

2）软件测试执行人员，一般应有 3 个月（含）以上软件测试技术岗位实习工作经历，并至少实习完成 1 个软件测试项目；

3）负责软件测试结果评价（评估）、方法确认、质量核查的人员，以及软件测试报告审核人和批准人，一般应有 3 年（含）以上软件测试技术工作经历。

3、软件测试实验室对软件检测人员进行的培训，应包括安全保密、知识产权保护以及软件测试有关的法规、标准。

4、软件测试实验室应：

1）至少具有 5 名软件检测人员；

2）由熟悉软件项目管理、开发、测试及标准、规程、规范的技术人员负责组织实施软件检测任务。

3）由熟悉软件检测过程以及软件测试标准、规范、规程，软件质量评价和软件测试质量评价的人员，负责对软件检测人员实施质量核查，审核软件测试过程和形成的软件测试工作产品是否符合相应的标准、规范；

4）由熟悉软件测试需求、测试结果评价和判定准则的人员负责对软件测试输入和测试结果进行核查。

（二）设施和环境条件

1、软件测试实验室的设施和环境条件应确保测试数据和测试设备的完好、安全、稳定，测试场地一般应具备防静电、电源故障保护措施。如果软件测试在实验室固定场所以外进行，应有措施控制测试设施和环境条件满足测试任务要求，确保其测试记录及数据的完整和安全，防止非授权实体的进入。

2、在软件测试实验室固定场所以外测试环境实施软件测试的过程控制和项目管理，应考虑在实验室固定场所以外测试环境与实验室受控环境的各种不同因素，采取相应措施形成文件使测试活动满足管理要求和技术要求。

3、对结果有影响的因素，软件测试实验室进行监控和记录环境条件，应有防止计算机病毒、木马程序等事项不良程序交叉感染测试环境，如防病毒软件的升级及记录。

4、应有措施保证软件测试项目使用的计算机及网络与该项目以外的计算机及其网络有效隔离，防止外部环境不可控因素对被测软件和测试结果造成不良影响。当通过实验室以外的网络实施远程测试时，应注意影响网络正常运行的环境条件。

（三）设备

1、软件测试设备可包括测试工具软件以及计算机系统、网络系统、适配器、测试输入和结果输出等硬件设备。当利用计算机或自动设备对软件测试数据进行采集、处理、记录、报告、存储或检索时，实验室应对这些测试数据处理有关的软件进行核实，并对测试环境中测试工具软件的计算和数据转移进行系统和适当的检查。实验室应规定程序保证测试环境中的所有测试软件应为正式软件或与客户约定的软件，且版本正确。

2、软件测试实验室应对测试工具软件进行版本升级和配置控制，防止误用。

3、有指标要求的测试工具在投入使用前应对其使用范围进行检查。例如，允许 500 个用户的测试工具，在初次使用前，应采用适当的方法对其是否符合要求予以核查确认。

4、正在进行测试的设备应张贴“测试中”的标识，并在屏保中设置标识，以避免错误调整测试环境影响测试工作的进行。

5、设备记录应包括测试所用设备的配置及支撑软件等信息（包括：工具类型、名称、生产厂商、版本号、用途与性能、启用时间、许可证书、主要选件、技术文件及运行平台等信息）。测试工具软件的不同版本，均应加以唯一性标识。

三、软件测试实验室申请CNAS认可的官方依据

认可规范类文件

CNAS公开发布的用于规范认可工作的一类文件的总称，包括：认可规范文件(即认可规则、认可准则、认可指南和认可方案)以及认可说明、技术报告和认可制度体系表。

添加描述

四、软件测试实验室申请CNAS资质的认可流程

1、体系试运行

软件测试实验室在计划申请CNAS，相关资源准备妥当之后，需要按照CNAS认可准则的相关要求，建立软件测试实验室质量管理体系，试运行六个月后，方可向CNAS认可委提交申请。

2、提交申请

软件测试实验室实验室在自我评估满足认可条件后，向 CNAS 认可七处递交认可申请，签署《认可合同》，并交纳申请费。

3、受理决定

CNAS 秘书处收到软件测试实验室递交的申请资料并确认交纳申请费后，首先会确认申请资料的齐全性和完整性，然后再对申请资料进行初步审查，做出是否受理的决定。

CNAS 秘书处在资料审查过程中（做出受理决定前）会将所发现的问题通知申请软件测试实验室，实验室要在 1 个月内书面回复 CNAS 秘书处，对所提问题进行澄清或采取的处理措施，在回复后的 2 个月内，其提交的整改资料，经审查能够满足受理要求。否则会导致不予受理其认可申请的后果。

4、文件评审

CNAS 秘书处受理申请后，将安排评审组长对软件测试实验室的申请资料进行全面审查，是否能对实验室进行现场评审，取决于文件评审的结果。

在文件评审中，评审组长发现文件不符合要求时，CNAS 秘书处或评审组长会以书面方式通知实验室进行纠正，必要时采取纠正措施。

5、现场评审

现场评审在软件测试实验室申请认可的地点内进行，现场评审的具体日期由 CNAS秘书处或委托评审组长与实验室协商确定，评审人日数则取决于实验室申请认可的能力范围，即申请认可的技术领域和申请项目数量。

评审组负责制订现场评审日程，于现场评审前通知实验室并征得软件测试实验室同意。现场评审的开始以首次会议的召开为表征，首次会议由评审组长主持，评审组和实验室人员（可以是管理层人员，也可以是全体人员）参加。首次会议上评审组长将通告评审目的、范围，宣告评审要求，澄清被评审方的问题，确认评审日程，并与实验室确定陪同人员及必要的办公设施。

现场评审时，评审组会针对软件测试实验室申请认可的技术能力进行逐项确认，根据申请范围安排现场试验。安排现场试验时会考虑申请认可的所有项目/参数、仪器设备、检测/校准/鉴定方法、类型、试验人员、试验材料等等。

6、获得资质

评审通过后，CNAS 秘书处会向获准认可实验室颁发认可证书以及认可决定通知书，并在 CNAS 网站公布相关认可信息。实验室可在 CNAS 网站“获认可机构名录”中查询。六、软件测试实验室申请CNAS认可的预算表