ICS 35.240 CCS L67 、准 团 電体标 CQAE*****—2025 首版次软件产品测评规范 First edition software product evaluation specification (征求意见稿) 202X-XX- XX 发布 202X-XX-XX 实施 中国电子质量管理协会 发布 T/XXX xxxX-XxxX 目 次 前言 III 1 范围 2 规范性引用文件 3术语、定义和缩略语.. 4 测评流程 4.1 概述 4.2 测评申请 4.3 测评受理 4.4 形式审查 4.5 测评方案 4.6测评实施 4.7 报告反馈 4.8 意见处理 4.9 同行评审 4.10结果公示及归档， 5源代码开发水平测评 5.1软件组件情况， 5.2自研代码定义能力 5.3开源代码管控能力. 5.4商业组件管控能力， 6产品能力对标测评. 6.1功能对标 6.2性能效率对标 6.3可靠性对标 6.4其它指标对标 7组织基本能力评价 7.1组织背景 7.2科研创新. 10 7.3行业应用 10 7.4知识产权 10 8测评结果评价方法. 11 T/XXX XXXX-XXXX 8.1 同行评审 11 8.2 评价结果， 8.3 入库归档 11 附录A组织自声明要求（规范性） ..12 A.1源代码自主开发情况声明模板 A.2产品研制采用商业组件的情况声明模板 A.3产品研制采用开源软件的情况声明模板 ..14 A.4产品研制采用人工智能生成代码的情况声明模板 .15 附录B工业软件指定功能测试模块（资料性） .16 附录CSBOM数据字段清单示例（资料性） II XXXX一XXXXXXX/l 首版次软件产品测评规范 1范围 本规范提出了首版次软件产品测评通用要求，并规定了核心关键软件、基础通用软件、行业应用软 件的测试与评估方法。 本文件适用于首版次软件产品研发组织、第三方测评机构针对首版次软件产品开展测评，用户单位 选择和评价首版次软件产品。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T11457—2006信息技术软件工程术语 GB/T25000.1一2021系统与软件工程系统与软件质量要求和评价（SQuaRE）第1部分：SQuaRE 指南 GB/T25000.10一2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第10部分：系统与 软件质量模型 GB/T25000.51一2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可 用软件产品（RUSP）的质量要求和测评细则 GB/T29831.2一2013系统与软件功能性第2部分：度量方法 GB/T29832.2一2013系统与软件可靠性第2部分：度量方法 GB/T29833.2一2013系统与软件可移植性第2部分：度量方法 GB/T29834.2一2013系统与软件维护性第2部分：度量方法 GB/T29835.2一2013系统与软件效率第2部分：度量方法 GB/T29836.2一2013系统与软件易用性第2部分：度量方法 GB/T43848一2024网络安全技术软件产品开源代码安全评价方法 ISO/IEC59622021 信息技术SPDX规范V2.2.1（InformationtechnologySPDXSpecificationV2.2.1) 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件。 3.1.1 测试test 一种活动，在此活动中，系统或部件在一定的条件下执行，观察或记录其结果，对系统或部件的某 些方面进行评价。 [来源：GB/T11457—2006,2.1692] 3.1.2 测试用例testcase 为具体的目标（例如，为练习具体的程序路径或验证对特定需求的遵循性）而开发的一组测试输入、 执行条件和预料的结果。 [来源：GB/T11457—2006,2.1695] 3.1.3 1 T/XXX XXXX-XXXX 软件产品softwareproduct 计算机软件、信息系统或设备中嵌入的软件，或在提供计算机信息系统集成、应用等技术服务时提 供的计算机软件，表现形式为一组计算机代码、规程以及可能的相关文档和数据。 [来源：GB/T43848—2024,3.1] 3.1.4 评价 evaluation 决定某产品、项目、活动或服务是否符合它的规定的准则的过程。 [来源：GB/T25000.1—2010,2.571] 3.1.5 软件测试环境 softwaretestenvironment 对软件进行合格性测评或其他测评时所需要的设施、硬件、软件、固件、规程和文档集等。 [来源：ISO/IEC/IEEE24765:2010系统和软件工程词汇] 3.1.6 首版次软件产品firsteditionsoftwareproduct 在重点领域首次投入市场且尚未形成规模化应用的软件产品。 注1：软件产品应取得软件著作权，且不存在知识产权争议； 注2：不包括自研自用的软件产品和用户定制的非通用软件。 3.1.7 开源率 open sourceratio 软件产品中引用开源代码占全部代码的比重。 注：开源率=开源代码行数/参与检测的代码总行数。 3.1.8 开源软件open source software 遵循一个或多个许可协议的软件，这些许可协议符合开源软件促进会发布的开源定义或自由软件基 金会发布的自由软件定义 [来源：ISO/IEC18974:2023信息技术OpenChain安全保障规范] 3.1.9 开源代码opensourcecode 公众可以获取源代码的计算机代码 注：其著作权人通过开源许可证将代码的复制、修改、再发布的权力向公众开放。 [来源：GB/T43848—2024,3.2] 3.1.10 开源许可证open sourcelicense 允许公众根据协议内容使用、修改、复制和分发开源代码的授权协议。 [来源：GB/T43848—2024,3.3] 3.1.11 源代码 sourcecode 以适合于作为汇编程序、编译程序或其他转换程序输入的形式表示的计算机指令和数据定义。 [来源：GB/T11457-—2006,2.1541] 2 T/XXX XXXX-XXXX 3.1.12 软件物料清单 softwarebill of materials 是一种正式的、结构化的记录，旨在唯一标识文件、详细记录软件产品的组件构成并描述这些组件 之间的供应链关系。概括了应用程序中所引入的各种包和库，以及这些包、库与其他上游项目之间的关 联。 3.1.13 核心关键软件corecriticalsoftware 指关键软件产业链中正在攻关的软件。 3.1.14 基础通用软件basicgeneralsoftware 指除关键软件产业链中正在攻关的软件以外的其余基础软件。 3.1.15 行业应用软件industryapplication software 指针对各行业应用的各类软件。 3.2缩略语 下列缩略语适用于本文件 API：应用程序编程接口（ApplicationProgrammingInterface） CPU：中央处理单元（CentralProcessingUnit） DCMM：数据管理能力成熟度评估模型（DataManagementCapabilityMaturityAssessmentModel） ISO：国际标准化组织（InternationalOrganizationforStandardization） SBOM：软件物料清单（SoftwareBillofMaterials） 4测评流程 4.1概述 首版次软件产品测评过程包括测评申请、测评受理、形式审查、测评方案、测评实施、报告反馈、 意见处理、同行评审、结果公示及归档9个阶段，测评内容覆盖产品源代码开发水平测评、产品能力对标 测评、组织基本能力评价3个方面，测评总体流程如下图所示： 测评方案 源代 产品 结果 测评 测评 形式 码开 组织 测评 报告 能力 同行 公示 申请 受理 审查 发水 基本 对标 实施 反馈 评审 A 及归 平测 能力 测评 档 评 评价 -- --- 测评大纲评审 意见处理 图1首版次软件产品测评流程 4.2测评申请 送测方应按要求如实提供首版次软件产品测评的申请材料，包括但不限于： a）产品测评申报书及相关证明材料； 3 XXXX一XXXXXXX/1 b）与申报书一致的送测产品及编译安装部署环境要求； c）应用场景说明或演示视频； d）送测产品需求规格说明书、设计文档、用户手册、测试文档等技术文档； e）送测产品自声明材料，包括但不限于源代码自主开发情况声明、产品研制采用商业组件、开源软 件以及人工智能生成代码的情况声明等，模板见附录A。送测方需在自声明材料中指定功能模块，用于开 展指定功能代码自研率测评，模块选择参考附录B； f)SBOM格式要求见附录C; g）送测产品相关专利、著作权、商标等知识产权成果证明材料； h）产品送测方认为与测评相关的其他资料。 4.3测评受理 测评机构针对送测方所提供的申请材料进行受理。 4.4形式审查 对送测方的注册信息、股权结构、企业管理层人员信息等材料的真实性、完整性等进行查验。 4.5测评方案 测评机构根据申报书及送测方提供的资料编制测评方案。 测评机构按需对测评大纲进行内部或外部评审。 4.6测评实施 测评机构根据测评方