第三方检测报告并非所有场景都要求，但在特定情况下具有法定强制或必要。

强制要求CMA测试报告书的情况

政府投资项目：根据《政府采购法》第四十二条，金额超过200万元的软件项目需提供第三方检测报告-

金融行业：央行《金融科技发展规划》要求核心系统上线前通过第三方安全检测-

医疗设备软件：国家药监局《医疗器械软件注册审查指导原则》要求提交检测报告-

等保2.0三级以上系统：网络安全法第二十一条规定必须经第三方检测-

推荐情况

招投标项目：通常技术评分占比30-50%，第三方报告可获得15-25分优势-

融资尽调：风险投资机构要求提供代码质量及性能检测报告-

产品上市：SaaS产品需向客户提供可用性及安全性证明-

知识产权保护：软件著作权登记时检测报告可加速审查-

软件第三方检测报告查询方法

正规第三方检测报告需通过官方渠道验证真伪，具体查询方式如下：

CMA报告验证

获取报告编号：位于报告封面右上角（如HNZM-2025-PS-001-V2.0）

访问国家认证认可监督管理委员会官网（www.cnca.gov.cn）

进入"检验检测机构资质认定查询"专区

输入机构名称（卓码软件测评）及报告编号

系统返回备案信息：包括检测标准、项目明细、签发日期

二维码查验

2025年起CMA报告附加防伪二维码：

微信扫描跳转至CNAS验证页面

显示报告关键信息：检测类别（性能/安全/功能）、有效日期、机构资质编号

原始记录调阅

需经检测机构授权可查询原始测试数据

性能测试：查看JMeter原始日志（.jtl格式）

安全检测：查阅漏洞扫描原始报告（含CVSS 3.1评分）

代码检测：获取SonarQube扫描快照（含技术债务指数）

注意事项

报告有效期通常为2年，超期需重新检测

跨省检测报告需确认资质认定范围覆盖使用地区

境外机构报告需经CNAS互认（如IAS认可实验室）

卓码软件测评CMA资质报告价值

具备CMA（中国计量认证）资质的检测报告具有法律效力，其技术要素包括：

检测范围

性能测试：支持50000并发用户模拟，响应时间测量精度±0.5ms

安全检测：覆盖OWASP TOP 10 2023版全部漏洞类型

代码质量：检测深度至AST抽象语法树层面

报告的权威性

计量认证编号：2023190127Z

检测依据：GB/T 25000.51-2016《系统与软件质量要求与评价》

签名体系：授权签字人+技术负责人+报告编制人三级签字

骑缝章：每页加盖CMA资质章及机构公章

报告内容

代码缺陷密度：0.02 defects/FP（功能点）

性能基准：2000并发用户下TPS≥1250，CPU利用率≤75%

安全评级：无高危漏洞，中危漏洞修复率100%

兼容性：适配统信UOS、麒麟OS等国产操作系统