第三方软件测试机构挑选需兼顾资质合规、技术实力和过程管控。

一、挑选标准

1. 资质认证

CMA：省级以上部门颁发的强制性许可，是国内验收、投标、司法举证资质。

CNAS：根据国际标准颁发的能力认可，报告和国际互认，适合有跨国业务的企业。

检查：

①登录“认e云”（cx.cnca.cn）检查证书有效；

②仔细查看《能力范围附件》，确定包含软件测试及项目所需标准（如GB/T 25000.51），避免超范围出具报告；

③保证证书单位名称和签约主体一致，并在有效期内。

2. 技术能力

团队：人员应持有ISTQB、CSP等专业认证，安全测试需有人工渗透团队不是仅靠工具扫描。

工具和方法：包括Selenium、JMeter、LoadRunner等主流工具；按照GB/T 25000.51等标准流程，保证测试设计、执行、缺陷管理全部可追溯。

行业经验：优先选择有同行业案例的机构，可要求提供脱敏版测试报告样本对业务场景的理解。

3. 服务流程

前期沟通：正规机构会先进行需求调研和考虑，再出具详细方案和报价；警惕不做任何了解即给出一口价的低价机构。

过程透明：要求提供日报/周报，同步测试进度、缺陷分布和风险，避免黑盒交付。

合同规范：合同中必须确定测试范围、交付物清单（计划、用例、缺陷记录、报告）、验收标准、保密条款及违约责任。

4. 报告实用性

缺陷可复现：需包含操作步骤、预期、实际及截图日志，开发人员能据此直接定位修复。

-结-果：验收报告应-给-出-结-果，并附用例执行数据、性能监控截图等材料，不空-谈模-板-化结果。

二、五大陷阱

陷阱一：资质造假或超范围出报告

表现为用过期资质、PS证书，或使用硬件检测资质套打软件报告。

对策：所有资质必须上认e云自核，并逐项检查能力范围附件。

陷阱二：极端低价和虚假报告

报价远低于市场均价，什么24小时出报告实则编造数据、抄袭模板，无法提供原始测试日志。

对策：拒绝明显低于成本的报价；要求提供测试过程记录、脚本和截图，并进行抽样复验。

陷阱三：测试黑盒和检测项缺失

只测简单功能，刻意规避高风险模块；安全测试仅用自动化工具跑一下，不做人工渗透。

对策：详细列明必须包括的测试类型（功能、性能、安全、兼容性等），评审测试计划，建立周报沟通机制，保证过程可见。

陷阱四：过度承诺和夸大宣传

承诺100%漏洞发现率，包出具通过报告等不实宣传。

对策：保持理性预期，任何测试都无法找全缺陷；要求提供同场景案例，通过多渠道检查口碑。

陷阱五：数据安全和保密缺失

委托测试需提供源代码、设计文档等高敏感资产，如果机构管理不善，极易引发泄密。

对策：签约时必须签署详细保密协议（NDA）；优先选择通过ISO 27001信息安全管理体系认证的机构；合同中确定项目结束后测试数据的彻底销毁机制。

三、决定选择合适软件测试机构的方法

明需求：确定测试类型、行业属性及交付物要求。

初筛池：用资质检查和同行业案例挑选3-5家。

深沟通：让其提供针对性方案和报价，考虑一致度。

做试点：选取部分模-块试测，证明实战能力。

签合同：锁定测试边界、交付清单、时间节点及保密条款。

选择第三方测试机构，本质是用可控的前期投入规避不可控的后期损失。切忌以价格为唯一标准，只有经得起资质检查、能力证实和流程考察的机构。