因业务调整,暂不接受个人委托测试,望谅解(高校、研究所等性质的个人除外).

检测项目

1.数字签名验证：RSA2048/4096位密钥强度验证；证书链有效性检验；时间戳服务器合规性核查
2.代码混淆强度测试：控制流平坦化覆盖率≥85%；字符串加密完整度100%；反编译抗性等级评估
3.安装包完整性校验：SHA-256哈希值匹配度；增量更新包差分验证；资源文件篡改识别
4.权限声明合规性：AndroidManifest权限声明与API调用一致性；iOSentitlements文件权限映射验证
5.依赖组件安全审计：第三方库CVE漏洞扫描（CVSS≥7.0高危项）；许可证兼容性矩阵分析
6.安装行为监控：静默安装参数审查；注册表/系统目录变更追踪；环境变量修改记录

检测范围

1.操作系统安装包：WindowsMSI/EXE格式；LinuxRPM/DEB格式；macOSPKG/DMG镜像
2.移动应用安装包：AndroidAPK/AAB文件；iOSIPA文件；鸿蒙HAP文件
3.商业应用套件：Office插件安装程序；ERP系统部署包；工业控制软件升级包
4.开源软件组件：Maven/Gradle依赖库；NPM/PyPI模块；Docker容器镜像
5.游戏发行包：Steam游戏交付包；UnityWebGL构建产物；虚幻引擎打包文件

检测方法

1.ISO/IEC27001:2013AnnexA.14.2.4代码签名验证流程
2.GB/T34990-2017信息技术软件包标识与完整性规范
3.ASTME2813-18软件完整性保护标准测试规程
4.ISO/IEC19770-2:2015软件标签合规性验证方法
5.GB/T37036-2018移动智能终端应用软件安全要求第4章分发安全条款
6.OWASPMobileApplicationSecurityVerificationChecklistV1.4

检测设备

1.FortifyStaticCodeAnalyzerSCA22.2：执行静态代码分析与依赖组件审计
2.KeysightN5970A协议分析仪：监控安装过程中的网络通信行为
3.Rohde&SchwarzCMW500宽带通信测试仪：移动端安装流量劫持测试
4.SpirentC50数字签名验证平台：支持X.509证书链深度验证
5.FlukeNetworksOptiViewXG网络分析仪：捕获静默安装后台数据传输
6.AgilentJ-BERTN4903B高速误码仪：验证增量更新包的差分传输完整性
7.Hex-RaysIDAPro8.3：执行二进制文件逆向工程抗性测试
8.VeracodeSoftwareCompositionAnalysis23.6：开源组件漏洞扫描与许可证分析

北京中科光析科学技术研究所【简称：中析研究所】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。