检测项目

数字签名有效性验证：证书链校验（RSA 2048/ECC 256）、时间戳服务器状态（RFC 3161）、吊销列表状态（OCSP/CRL）

哈希值匹配度检测：SHA-256/512算法比对、分段校验（每512KB区块）、多源交叉验证（≥3个可信仓库）

依赖项完整性审计：动态链接库白名单（CWE-829）、第三方组件许可证验证（SPDX 2.3）、版本冲突检测（SemVer 2.0.0）

安装行为异常监控：系统目录修改记录（Windows HKLM/Linux /usr）、进程注入检测（API Hook 30+项）、权限变更审计（SELinux/AppArmor策略）

恶意代码静态扫描：特征码匹配（YARA 3.11规则集）、启发式分析（熵值>7.2告警）、壳程序检测（UPX/ASPack等12类）

检测范围

操作系统安装包：Windows WIM/ESD镜像、Linux ISO文件（Debian/RPM格式）、macOS DMG封装文件

商业软件安装程序：MSI/NSIS打包程序、Java JAR/WAR部署包、Docker容器镜像（OCI标准）

开源软件源码包：Git仓库快照（.tar.gz）、PyPI/NPM模块包、Maven Central构件

移动应用安装包：Android APK/AAB、iOS IPA、HarmonyOS HAP

工业控制软件：PLC程序块（IEC 61131-3）、SCADA系统安装包、OPC UA客户端模块

检测方法

国际标准：

ISO/IEC 19770-2:2015 软件标识标签规范

ASTM E2916-13 软件供应链完整性评估指南

NIST SP 800-193 固件完整性保护标准

国家标准：

GB/T 25000.51-2016 软件产品质量要求与测试

GB/T 34990-2017 信息安全技术 恶意软件检测

GB/T 36635-2018 信息技术 软件包标识规范

检测设备

Agilent N9040B：执行频谱分析（0~40GHz），检测安装包无线通信模块异常信号发射

Rohde & Schwarz RTO2044：支持PCIe/USB3.0协议分析，捕获安装过程中的硬件交互行为

Keysight UXR0104A：100GHz采样率示波器，用于验证加密芯片物理层安全机制

Fluke Networks OptiFiber Pro：光纤链路检测仪，确保分布式安装源的网络传输完整性

Spirent C50：网络应用安全测试平台，模拟200Gbps DDoS攻击下的安装源稳定性

北京中科光析科学技术研究所【简称：中析研究所】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。